Các chiến dịch Phishing phát tán các dòng malware như DarkGate và PikaBot đang áp dụng theo các chiến thuật tương tự các cuộc tấn công sử dụng trojan QakBot trước đây nhưng hiện đã bị vô hiệu hóa.
Các phương pháp này lợi dụng các chuỗi email bị chiếm đoạt để làm lây nhiễm ban đầu. Các email này thường có các URL có mẫu duy nhất hạn chế quyền truy cập của người dùng, và một chuỗi lây nhiễm này gần giống hệt với những gì chúng ta đã thấy với việc phân phối Qakbot” Cofense cho biết trong một báo cáo được chia sẻ với The Hacker News. Các dòng malware được sử dụng trong chiến dịch này cũng tương tự những gì chúng ta thường thấy trong các cuộc tấn công sử dụng QakBot.
QakBot, còn được gọi là QBot và Pinkslipbot, đã bị các cơ quan thực thi pháp luật từ nhiều quốc gia có tên mã là Operation Duck Hunt triệt phá vào đầu tháng Tám năm nay. Việc sử dụng DarkGate và PikaBot trong các chiến dịch lừa đảo này không có gì đáng ngạc nhiên vì chúng đều có thể được sử dụng để cài đặt thêm phần mềm độc hại vào máy tính của nạn nhân. Điều này khiến chúng trở thành lựa chọn hấp dẫn cho tội phạm mạng.
Zscaler đã từng nêu bật lên những điểm tương đồng của PikaBot với QakBot trong phân tích của họ về phần mềm độc hại vào tháng 5 năm 2023, lưu ý đến sự tương đồng trong ‘phương thức phân phối, chiến dịch và hành vi phần mềm độc hại’.

Phần mềm độc hại DarkGate và PikaBot khôi phục lại chiến thuật của QakBot trong các cuộc tấn công Phishing mới

DarkGate là một phần mềm độc hại nguy hiểm, tích hợp các kỹ thuật tiên tiến để có thể trốn tránh sự phát hiện của các hệ thống chống vi-rút. Nó cũng có thể ghi lại các thao tác phím của người dùng, thực thi các lệnh PowerShell và tạo một shell ngược cho phép các nhà điều hành của nó chiếm quyền điều khiển máy tính bị nhiễm từ xa.
Sự kết nối giữa phần mềm độc hại và máy chủ của kẻ tấn công là hai chiều, nghĩa là kẻ tấn công có thể gửi lệnh và nhận phản hồi ngay lập tức. Điều này cho phép chúng điều khiển máy tính của nạn nhân, lấy dữ liệu hoặc thực hiện các hành động độc hại khác.
Phân tích của Cofense về chiến dịch lừa đảo quy mô lớn cho thấy nó nhắm mục tiêu vào nhiều lĩnh vực khác nhau, với các chuỗi tấn công lan truyền URL chứa mã độc trỏ đến kho lưu trữ ZIP trong các chuỗi email bị chiếm đoạt. Kho lưu trữ ZIP chứa một tệp JavaScript có thể tải xuống và chạy phần mềm độc hại DarkGate hoặc PikaBot từ một URL thứ hai.
Các nhà nghiên cứu bảo mật đã phát hiện ra một biến thể mới của các cuộc tấn công phishing. Biến thể này sử dụng các tệp bổ trợ Excel (XLL) thay cho trình thả JavaScript để phân phối phần mềm độc hại. Cofense cho biết, nếu máy tính bị nhiễm DarkGate hoặc PikaBot, kẻ tấn công có thể cài đặt phần mềm khai thác tiền điện tử, công cụ trinh sát, ransomware hoặc bất kỳ phần mềm độc hại nào khác lên máy tính của nạn nhân.