Η ομάδα πίσω από το PikaBot malware επανεμφανίστηκε με σημαντικές αλλαγές στο λογισμικό, σε μια περίπτωση που έχει περιγραφεί ως “devolution”.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Το PikaBot malware, που ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας τον Μάιο του 2023, είναι ένας κακόβουλος φορτωτής και backdoor που μπορεί να εκτελεί εντολές και να εισάγει φορτία από έναν διακομιστή ελέγχου (C2) καθώς και να επιτρέπει στον εισβολέα να ελέγχει το μολυσμένο υπολογιστή.
Είναι επίσης γνωστό ότι διακόπτεται η εκτέλεσή του εάν η γλώσσα του συστήματος είναι ρωσική ή ουκρανική, υποδεικνύοντας ότι οι φορείς εκμετάλλευσης εδρεύουν είτε στη Ρωσία είτε στην Ουκρανία.
Τους τελευταίους μήνες, τόσο το PikaBot malware όσο και ένας άλλος φορτωτής με το όνομα DarkGate έχουν εμφανιστεί ως ελκυστικές εναλλακτικές για απειλητικούς παράγοντες όπως ο Water Curupira (επίσης γνωστός ως TA577) για να αποκτήσουν αρχική πρόσβαση σε δίκτυα στόχου μέσω εκστρατειών phishing και να απορρίψουν το Cobalt Strike.
Η ανάλυση της Zscaler για μια νέα έκδοση του PikaBot (έκδοση 1.18.32) που παρατηρήθηκε αυτόν τον μήνα έχει αποκαλύψει τη συνεχή έμφαση στην απόκρυψη, αν και με απλούστερους αλγόριθμους κρυπτογράφησης, και την εισαγωγή κώδικα άχρηστων εντολών ανάμεσα σε έγκυρες εντολές, στο πλαίσιο των προσπαθειών του για να αντισταθεί στην ανάλυση.
Δείτε ακόμα: Νέα Python παραλλαγή του Chaes Malware στοχεύει τραπεζικές και logistic βιομηχανίες
Μια ακόμα κρίσιμη τροποποίηση που παρατηρείται στην τελευταία έκδοση είναι ότι ολόκληρη η διαμόρφωση του bot – παρόμοια με αυτή του QakBot – αποθηκεύεται σε απλό κείμενο σε ένα μοναδικό μπλοκ μνήμης αντί να κρυπτογραφούν και να αποκωδικοπούν κάθε στοιχείο κατά την εκτέλεσή τους.
Μια τρίτη αλλαγή αφορά τις επικοινωνίες δικτύου του C2 server, με τους δημιουργούς του κακόβουλου λογισμικού να προσαρμόζουν τα αναγνωριστικά εντολών και τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται για την ασφάλεια της κίνησης.
Η ανάπτυξη ήρθε όταν η Proofpoint ειδοποίησε για μια εξέλιξη κατάληψης λογαριασμού στον cloud (ATO) που έχει στοχεύσει δεκάδες περιβάλλοντα της Microsoft Azure και έχει παραβιάσει εκατοντάδες λογαριασμούς χρηστών, συμπεριλαμβανομένων αυτών που ανήκουν σε ανώτατα στελέχη.
Η δραστηριότητα, που είναι σε εξέλιξη από τον Νοέμβριο του 2023, επιλέγει χρήστες με δελεαστικά δολώματα που περιέχουν ψευδή αρχεία που περιέχουν συνδέσμους προς κακόβουλες ιστοσελίδες phishing για τη συλλογή διαπιστευτηρίων και την εξαγωγή δεδομένων, εσωτερικά και εξωτερικά phishing, και οικονομικές απάτες.
Δείτε επίσης: Mobile malware: Ένας μεγάλος κίνδυνος για τις επιχειρήσεις
Πώς μπορεί κάποιος να προστατευτεί από backdoor επιθέσεις;
Η πρώτη και πιο σημαντική στρατηγική για την προστασία από backdoor επιθέσεις είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να εγκαταστήσουν backdoors και πώς μπορούν να τις αντιμετωπίσουν.
Επιπλέον, η χρήση αξιόπιστου λογισμικού ασφαλείας είναι ζωτικής σημασίας. Τα προγράμματα antivirus μπορούν να ανιχνεύσουν και να απομακρύνουν τις backdoor επιθέσεις, ενώ ταυτόχρονα παρέχουν προστασία σε πραγματικό χρόνο. Η τακτική ενημέρωση του λογισμικού και του λειτουργικού συστήματος είναι επίσης ένας αποτελεσματικός τρόπος για την προστασία από backdoor επιθέσεις. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που διορθώνουν τις ευπάθειες που μπορεί να εκμεταλλευτούν οι επιτιθέμενοι.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον προστασία. Οι ισχυροί κωδικοί πρόσβασης δυσκολεύουν τους επιτιθέμενους να παραβιάσουν τους λογαριασμούς των χρηστών, ενώ η επαλήθευση δύο παραγόντων απαιτεί μια επιπλέον βήμα επαλήθευσης για την πρόσβαση σε έναν λογαριασμό.
Πηγή: thehackernews
