PikaBot feiert Comeback
Die Bedrohungsakteure, die hinter der PikaBot-Malware stehen, haben ihre Malware erheblich modifiziert. Die Änderungen, die sie "Devolution" (Rückentwicklung) nennen, zeichnen sich durch einen schlankeren Code aus, sind aber nach wie vor heimtückisch.
Eine neue Version bedeutet in der Softwareentwicklung normalerweise, das Produkt mit neuen Funktionen und Fähigkeiten auszustatten. Die Entwickler von PikaBot hatten offenbar andere Absichten. Schon der Begriff „Devolution“ deutet eher auf Rückentwicklung hin. Tatsächlich haben die Entwickler bewusst Maßnahmen ergriffen, um die Komplexität des Codes zu reduzieren, anstatt ihn weiter zu verfeinern und zu ergänzen. Konkret haben sie „fortschrittliche Verschleierungstechniken entfernt und die Netzwerkkommunikation angepasst“, erklären Forscher der Zscaler ThreatLabz.
PikaBot wurde erstmals im Mai 2023 von einer Cybersecurity-Firma dokumentiert. Es handelt sich um einen Malware-Loader und eine Backdoor, die Befehle ausführen und Nutzdaten von einem Command-and-Control-Server (C2) abrufen kann. Das ermöglicht dem Angreifer die Kontrolle über den infizierten Host. Die Malware stoppt ihre Ausführung, wenn die Systemsprache Russisch oder Ukrainisch ist, was darauf hinweist, dass die Betreiber möglicherweise in Russland oder der Ukraine ansässig sind.
In den letzten Monaten haben sich sowohl PikaBot als auch ein anderer Loader namens DarkGate als attraktive Alternativen für Bedrohungsakteure wie Water Curupira (alias TA577) erwiesen. Diese Akteure verschaffen sich über Phishing-Kampagnen Zugang zu Zielnetzwerken und installieren Cobalt Strike.
Eine Analyse der neuen PikaBot-Version (Version 1.18.32) durch Zscaler zeigt, dass der Schädling weiterhin auf Verschleierung setzt, jedoch mit einfacheren Verschlüsselungsalgorithmen. Außerdem fügt er Junk-Code zwischen gültige Anweisungen ein, um Analysen zu erschweren.
In der neuesten Version von PikaBot wurden weitere wichtige Veränderungen festgestellt. Eine davon betrifft die Art und Weise, wie die Bot-Konfiguration gespeichert wird. Diese ähnelt nun der von QakBot und wird im Klartext in einem einzigen Block gespeichert, anstatt jedes Element zu verschlüsseln und zur Laufzeit zu entschlüsseln.
Eine weitere Änderung betrifft die Netzwerkkommunikation mit dem C2-Server. Die Malware-Entwickler haben die Befehls-IDs und den Verschlüsselungsalgorithmus angepasst, um den Datenverkehr sicherer zu machen.
„Trotz seiner zeitweiligen Inaktivität bleibt PikaBot eine bedeutende Cyber-Bedrohung und wird kontinuierlich weiterentwickelt“, so das Fazit der Forscher. „Die Entwickler haben jedoch beschlossen, einen anderen Ansatz zu wählen und die Komplexität des Codes von PikaBot zu verringern, indem sie fortgeschrittene Verschleierungsfunktionen entfernen.“
Die Entwicklung erfolgt zu einem Zeitpunkt, an dem Proofpoint vor einer laufenden Kampagne zur Übernahme von Cloud-Konten (ATO) warnt. Diese Kampagne zielt auf Dutzende von Microsoft Azure-Umgebungen ab und hat bereits Hunderte von Benutzerkonten kompromittiert, darunter auch die von Führungskräften.
Seit November 2023 werden bei dieser Aktion Benutzer gezielt mit individuellen Phishing-Ködern ausgewählt. Diese enthalten Täuschungsdateien mit Links zu bösartigen Phishing-Webseiten, um Anmeldedaten abzugreifen. Die gestohlenen Daten werden dann für die anschließende Datenexfiltration, internes und externes Phishing sowie finanziellen Betrug genutzt.