Pikabot to stosunkowo nowy trojan, który może wykonywać szereg niebezpiecznych działań. W tym artykule przyjrzymy się, jak działa to wykryte na początku 2023 r. zagrożenie.
Pikabot jest modułowym trojanem składającym się z dwóch głównych komponentów: funkcji ładującej oraz realizującej większość szkodliwych działań. Pikabot działa jak backdoor, pozwalając cyberprzestępcom na uzyskiwanie nieautoryzowanego dostępu do zainfekowanych systemów.
Szkodnik jest sterowany z serwera kontrolowanego przez atakujących, a zakres obsługiwanych poleceń jest szeroki, np.: wstrzykiwanie kodu do procesów, bibliotek i plików wykonywalnych czy dystrybuowanie innych niebezpiecznych narzędzi, takich jak Cobalt Strike. Można na tej podstawie podejrzewać, że Pikabot jest narzędziem wykorzystywanym w wieloetapowych, zaawansowanych atakach. Do innych pleceń obsługiwanych przez trojana należą: uruchamianie poleceń powłoki, pobieranie i uruchamianie plików EXE oraz DLL, wysyłanie szczegółowych informacji o zainfekowanym systemie, a nawet tryb niszczenia samego siebie.
Na podstawie wczesnej analizy badacze uznali, że Pikabot jest dystrybuowany przez innego trojana – Qakbot. Jednak dalsze badania ujawniły, że szkodniki te mają po prostu bardzo podobne metody dystrybucji.
Sposób infekcji
Modułowa struktura pozwala szkodnikowi na realizowanie wielu niebezpiecznych działań. Jednak przed wypakowaniem ze swojego kodu głównych modułów, Pikabot przeprowadza analizę środowiska pod kątem obecności ochrony. Jeżeli wykryte zostaną mechanizmy zabezpieczające, których trojan nie jest w stanie ominąć, dalsze działania są anulowane. Sprawia to, że Pikabot stanowi wyzwanie dla analityków badających cyberzagrożenia. Wspomniana analiza obejmuje wykrywanie debugerów, sanboxów, środowisk wirtualnych i innych narzędzi wykorzystywanych przez badaczy.
Główny moduł szkodnika został sprytnie zaszyfrowany i zapisany pod postacią obrazków PNG. Są one deszyfrowane z użyciem 32-bitowego klucza zapisanego w kodzie modułu ładującego. Dalsze deszyfrowanie wykorzystuje algorytm AES.
Interesujące odkrycia
Jedną z intrygujących cech Pikabota jest mechanizm autodestrukcji uruchamiany, gdy atakowany system działa w języku gruzińskim, kazachskim, uzbeckim lub tadżyckim. Może to sugerować, że autorzy celowo unikają systemów działających w określonych obszarach geograficznych. Co więcej, wygląda na to, że trojan jest we wczesnej fazie rozwojowej, o czym może świadczyć numer wersji (0.1.7) przekazywany w trakcie komunikacji szkodnika z kontrolującym go serwerem.
Wszystko to pokazuje, że zaawansowani cyberprzestępcy nie rezygnują z tworzenia skomplikowanych szkodliwych narzędzi, których wykrywanie i analizowanie staje się coraz trudniejsze.
Zabezpiecz komputery w firmie:
