Quelques faits marquants
-
Pikabot est un cheval de Troie de type backdoor à plusieurs niveaux apparu début 2023.
-
La caractéristique la plus remarquable de Pikabot est sa capacité de chargement, capable de diffuser des charges virales et disposant de plusieurs techniques d’évasion de la défense.
-
Pikabot est programmé pour exécuter des commandes via un serveur Command & Control, comme l’injection arbitraire de shellcodes, de DLL ou de fichiers exécutables.
-
L’auteur de ce malware a inclus plusieurs techniques anti-analyse pour empêcher l’analyse automatisée dans les environnements de type sandbox et recherche.
-
Pikabot et le cheval de Troie Qakbot sont comparables en termes de campagnes lancées, de caractéristiques malveillantes et de stratégies de distribution.
-
Pikabot/Darkgate ont été distribués via des spams, du piratage de courrier électronique et de la publicité malveillante (malvertising).
Contexte
Le cheval de Troie de type backdoor connu sous le nom de Pikabot est apparu pour la première fois début 2023. L'utilisation d'un serveur Command & Control (C2) permet à l'attaquant de prendre le contrôle à distance et d'exécuter des commandes arbitraires. Pikabot peut également insérer du shellcode arbitraire et envoyer des charges virales malveillantes sur les ordinateurs cibles, notamment des exécutables, des fichiers DLL, des malwares et des charges virales de type balise (beacon) Cobalt-Strike. En utilisant des techniques Anti-VM et Anti-Debugging dans le code source, les auteurs de Pikabot ont rendu inaccessibles, lors de l’analyse, toute indication potentielle de leur comportement malveillant, permettant ainsi à ces derniers de rester indétectables. Les techniques Anti-Debugging incluent la vérification des débogueurs, des points d'arrêt et des informations système, l'utilisation d'outils tels que ADVobfuscator pour l'obfuscation des chaînes et de méthodes pour détecter les environnements sandbox et les tentatives d'analyse.
Les techniques Anti-VM incluent des vérifications pour observer les environnements de type machine virtuelle, rendant ainsi plus difficile l'analyse automatisée. Les experts en sécurité ne peuvent pas identifier et caractériser, dans leurs laboratoires lors d’une analyse dynamique, d’éventuels comportements suspects que les malwares pourraient adopter en raison justement des mesures anti-analyse.
Pikabot est un malware modulaire de type backdoor diffusé via des campagnes de spam, le piratage d'emails et la publicité malveillante (malvertising). Il cible les victimes via ses deux composants : un chargeur (loader) et un module principal (core module). Le loader a pour mission de charger le composant principal du malware au niveau du système. Pikabot peut être chargé dans le système via son propre loader ou en passant par des loaders commerciaux pour charger son composant principal. Une fois la charge virale principale déchiffrée, l’injecteur Pikabot crée une suspension de processus et injecte le composant principal. L'injecteur utilise des appels système indirects pour masquer son injection. Les autres API utilisées sont traitées à l'aide de GetProcAddress avec des chaînes déchiffrées. D'autres chaînes pertinentes sont également déchiffrées pendant l'exécution avant d'être utilisées. Le chargeur et le module principal de Pikabot exécutent la plupart des fonctions du malware, tandis que le premier facilite ces activités malveillantes. Les objectifs du malware présentent des dangers importants, notamment le cryptomining (cryptominage) sur des systèmes compromis, l'installation de spywares et de ransomwares, le vol d'identifiants et de données confidentielles et la possibilité de contrôler à distance les systèmes compromis.
Tactiques, Techniques et Procédures (TTP) MITRE ATT&CK
Veuillez consulter le rapport pour obtenir plus d'informations sur ses capacités techniques, ses modèles de comportement, sa détection et sa remédiation avec la plateforme Converged SIEM de Logpoint.
