PikaBot Malware se está distribuyendo como parte de una campaña de publicidad maliciosa, dirigida a aquellos que buscan software legítimo como AnyDesk.
Anteriormente, PikaBot solo se distribuía a través de campañas de malvertising de manera similar a QakBot, y surgió como una de las cargas útiles preferidas para un actor de amenazas conocido como TA577. Estos están eludiendo los controles de seguridad de Google con una URL de seguimiento a través de una plataforma de marketing legítima para redirigir a su dominio personalizado detrás de Cloudflare.
Este malware surgió por primera vez a principios de 2023, consta de un cargador y un componente central que le permite operar como una backdoor y distribuidor de otras cargas maliciosas. Esto otorga a los atacantes acceso no autorizado a los sistemas comprometidos y les permite enviar comandos desde un servidor C2 (Comando y Control), incluyendo código shell arbitrario, DLL, archivos ejecutables o herramientas maliciosas como Cobalt Strike.
TA577 ha estado asociado con el despliegue de varias amenazas cibernéticas como QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike, ahora utiliza PikaBot como parte de sus ataques.
El método de infección inicial es un anuncio falso de Google para AnyDesk, este al ser seleccionado, dirige a los usuarios a un sitio web falso denominado anadesky.ovmv[.] net, donde se aloja un instalador MSI malicioso en Dropbox.
Cuando la víctima hace clic en el botón de descarga en el sitio web, se lleva a cabo una segunda verificación para garantizar que no esté en un entorno virtualizado. Este enfoque de ataque recuerda a cadenas de publicidad maliciosa utilizadas previamente para propagar otro malware conocido como FakeBat o EugenLoader.
Unidad 42 de Palo Alto Networks reveló que PikaBot, junto con DarkGate, se están propagando mediante campañas de correo no deseado, similares a las que utiliza QakBot. Estos ataques implican la redirección de la infección a Cobalt Strike en una dirección IP específica, utilizando masterunis[.] net.
El incremento de la publicidad maliciosa señala cómo los ataques basados en navegadores sirven como vías para infiltrarse en las redes objetivo. Como ser la presencia de ParaSiteSnatcher, un nuevo marco de extensión en Chrome, que permite a los ciberdelincuentes supervisar, manipular y extraer información altamente confidencial de múltiples fuentes.
Fuente:
New Malvertising Campaign Distributing PikaBot Disguised as Popular Software
Ciberprisma - alianza por la ciberseguridad 