CERT Orange ostrzega przed groźnym wirusem związanym z Rosją

CERT Orange alarmuje o aktywności złośliwego oprogramowania Pikabot, które pojawiło się na polskim rynku cyberbezpieczeństwa od lutego tego roku. Pikabot jest powiązany z działaniami grupy hackerskiej TA577, której aktywność jest często kojarzona z Rosją. Oprogramowanie to, które posiada zaawansowane funkcjonalności, stanowi rosnące zagrożenie i jest stosowane przez wspomnianą grupę w atakach na szeroką skalę, w tym w atakach typu ransomware.

Metody socjotechniczne w praktyce

Ataki przeprowadzane przez grupę TA577 charakteryzują się wykorzystaniem technik socjotechnicznych, gdzie nadużywane jest zaufanie użytkowników. Przykładem są ataki BEC, polegające na przejmowaniu kontroli nad skrzynkami pocztowymi i kontynuowaniu wcześniejszej korespondencji. Choć metoda ta jest dobrze znana, to nieustannie przynosi skutki. Podobne techniki były już wykorzystywane przy rozpowszechnianiu takich malware jak Emotet czy Qakbot.

W opisywanym przypadku niezgrabne formatowanie wiadomości oraz błędy w kodowaniu mogą wzbudzić podejrzenia, lecz przestępcy nieustannie udoskonalają swoje metody. Eksperci przewidują, że następne kampanie Pikabot będą już bardziej wyrafinowane i trudniejsze do wykrycia.

Schemat infekcji przez Pikabot

Pikabot to nowoczesny i złożony rodzaj złośliwego oprogramowania, który funkcjonuje jako modułowy backdoor, umożliwiając atakującemu nieautoryzowany dostęp do systemów ofiar. Dzięki szeregowi funkcji, Pikabot pozwala na zaawansowane działania, takie jak iniekcja shellcode’u czy kontrolowanie maszyny przy użyciu narzędzi typu CobaltStrike.

W procesie infekcji użytkownicy otrzymują wiadomość z linkiem do pobrania szkodliwego kodu JavaScript, który po uruchomieniu inicjuje kolejne kroki ataku, w tym pobranie i wstrzyknięcie złośliwego pliku dll do procesu systemowego, co umożliwia Pikabotowi zainstalowanie się w systemie i komunikację z serwerem zarządzającym.

Trendy w rozwoju Pikabot

Analizując rozwój Pikabot w ostatnich miesiącach, eksperci z CERT Orange zauważają wzorce podobne do tych obserwowanych przy innych, już znanych zagrożeniach takich jak Emotet czy Trickbot. Choć na chwilę obecną nie ujawniono, jak Pikabot uzyskuje dostęp do poczty elektronicznej swoich ofiar, istnieje możliwość, że w przyszłości jego funkcjonalność zostanie rozszerzona o takie właśnie narzędzia. Aktualnie przypuszcza się, że przestępcy mogą wykorzystywać dane uzyskane z innych kampanii.

Ostrzeżenie CERT Orange jest jasne – Pikabot stanowi realne zagrożenie dla cyberbezpieczeństwa. Użytkownicy powinni zachować szczególną ostrożność, zwłaszcza w przypadku otrzymywania podejrzanych wiadomości email i nieznanym pochodzeniu załączników lub linków.