15/02/24
Специалисты компании Zscaler ThreatLabz обнаружили значительные изменения в работе вредоносного ПО PikaBot, которые они охарактеризовали как «передачу полномочий» в развитии вируса. Новая версия, обозначенная как 1.18.32, проходит стадию разработки и тестирования, в ходе которой разработчики существенно упростили структуру кода за счет отказа от сложных методов обфускации и изменений в сетевых коммуникациях.
PikaBot, впервые зафиксированный в мае 2023 года, является загрузчиком вредоносных программ и бэкдором, позволяющим выполнить команды и доставить полезную нагрузку с сервера управления и контроля (Command and Control, C2), а также дает злоумышленникам контроль над зараженным хостом. Так пишет Securitylab.
Анализ новой версии PikaBot показал, что, несмотря на упрощение кода, разработчики продолжают сосредотачиваться на обфускации, используя более простые алгоритмы шифрования и вставляя между действительными инструкциями «мусорный» код для затруднения анализа. Одно из ключевых изменений заключается в том, что вся конфигурация бота теперь хранится в открытом виде в одном блоке памяти, в отличие от предыдущего метода, когда каждый элемент шифровался и декодировался во время выполнения. Также были изменены команды и алгоритм шифрования, используемые для защиты трафика с C2-серверами.
Новая версия PikaBot подразумевает, что вредонос продолжает представлять существенную угрозу в сфере кибербезопасности и находится в постоянном развитии.
В ноябре компания Cofense обнаружила, что вредоносные программы DarkGate и PikaBot распространяются киберпреступниками с помощью тех же методов, что и в атаках с использованием трояна QakBot, который был ликвидирован в августе. DarkGate и PikaBot способны доставлять дополнительные нагрузки на зараженные хосты, что делает их привлекательными для злоумышленников. Сходство PikaBot с QakBot было отмечено аналитиками исходя из одинаковых методов распространения, кампании и поведения вредоносных программ.
