Pikabot to nowy trojan w Polsce. Jedno z poważniejszych cyberzagrożeń. Aktywność maleware’u pojawiającego się od lutego tego roku, kojarzonego z aktywnością wiązanej z Rosją grupy hakerskiej w ostatnim czasie rośnie.
Czytaj też: Uruchomiono bezpłatny numer 8080 do zgłaszania podejrzanych SMSów
Sam Pikachu to puchaty pokemon kojarzony raczej z dobrymi uczuciami. W ramach serialu atakuje wrogie stwory elektrycznością. Pikabot z kolei to już rozbudowane, dysponujące wieloma możliwościami oprogramowanie złośliwe. Grupa rosyjska TA577 wykorzystuje w swoich działaniach takie działania, jak Qakbot, IcedID, SystemBC czy SmokeLoader. Co ważne łączana jest także z atakami typu ransomware, gdzie działalność opierała się o pozyskiwanie i odsprzedawanie dostępu do infrastruktury.
Czytaj też: Oszustwa kryptowalutowe i youtubowe szaleją
Pikabot – nowy groźny trojan
Powyższa wiadomość to jedna ze standardowych socjotechnik. Autorzy tego konkretnego ataku wzorowali się na BEC, które wykorzystują przejęte wcześniej skrytki pocztowe. W efekcie takich maili i wysyłania nowych wiadomości, łatwiej jest stać w roli wiarygodnych autorów. Chociaż technika ta jest znana od dawna – niezmiennie okazuje się skuteczna. Co ciekawe – była też wykorzystywana w dystrybucji malware Emotet oraz Qakbot.
Czytaj też: Nowa fala fałszywych wiadomości od Facebooka
W opisywanym przypadku jednak dość łatwo jest zorientować się, że ktoś próbuje nas oszukać. Dlaczego? Źle sformatowano maila, są problemy z kodowaniem i polskimi znakami, w efekcie czarno na białym widać, że coś jest nie tak. Warto jednak mieć się na baczności, ponieważ kolejna kampania Pikabota będzie już, najpewniej, oparta o dobrze skonfigurowaną wiadomość.
Czytaj też: Deepfake z Kwaśniewskim nowym oszustwem
Co jednak z mailem? Tym razem forma nie będzie dla nas ważna, sprawdźmy samą treść. Bardzo krótkiemu tekstowi towarzyszy link z nieznaną domeną. Dalej z kolei – ciąg dotychczasowej korespondencji. Po weryfikacji domeny okazuje się, że jest to już skompromitowany serwis www. Tam w podkatalogu cyberprzestępcy udostępnili złośliwą zawartość.
Równocześnie trzeba zaznaczyć, że sam Pikabot jest młodym malware w polskiej cyberprzestrzeni. Pierwsze sygnały o nim pochodzą z lutego 2023. Jest to jednak bardzo złośliwy kod, składający się z dwóch podstawowych komponentów – loadera i modułu podstawowego. Po zainstalowaniu pracuje on jako backdoor, pozwalając na nieautoryzowany dostęp do komputera z serwera Command&Control przez zarządzającego przestępcę. Co ważne, program ten ma kilka funkcji, dających operatorowi szereg możliwości do aplikacji shellcode’u. Na przestrzeni analizy zmian w samym malware można zauważyć, że podąża on drogą znanych już poprzedników. Na przykład Trickbota czy Qakbota. Jeszcze nie wiadomo jednak skąd Pikabot uzyskuje dostęp do skrzynek pocztowych ofiar, ponieważ nie zidentyfikowano takiej funkcjonalności w kodzie modularnym.