Pikabot est un cheval de Troie de porte dérobée sophistiqué et modulaire apparu pour la première fois début 2023. Sa caractéristique la plus remarquable réside dans la capacité de son chargeur à délivrer des charges utiles combinée à des techniques d'évasion défensives avancées.
À l'aide d'un serveur de commande et de contrôle, l'attaquant peut prendre le contrôle à distance et exécuter diverses commandes, notamment l'injection de shellcode, de DLL ou de fichiers exécutables. Les auteurs de Pikabot ont également mis en œuvre plusieurs techniques anti-analyse pour empêcher l'analyse automatique dans les environnements sandbox et de recherche. Cela inclut les techniques anti-débogueur et anti-VM ainsi que les méthodes de détection de l'environnement sandbox. En termes de campagnes, Pikabot est similaire au cheval de Troie Quakbot de par ses caractéristiques malveillantes et ses stratégies de distribution.
Différentes méthodes de distribution
Il se propage via le spam, le détournement de courrier électronique ou la publicité malveillante. Les différentes méthodes de distribution, comme l'utilisation de fichiers PDF dans les attaques de phishing, font de Pikabot un défi important pour les analystes en sécurité. L'analyse technique révèle les techniques d'évasion sophistiquées, les mécanismes de cryptage et les modèles de comportement de Pikabot. Il s'agit d'un malware modulaire de porte dérobée qui attaque ses victimes par le biais de campagnes de spam et de détournement de courrier électronique à l'aide d'un chargeur et d'un module principal. Le chargeur est responsable du chargement du composant principal du malware dans le système.
Pikabot s'avère très dangereux car il poursuit des objectifs tels que l'extraction de cryptomonnaies, l'installation de logiciels espions et de ransomwares, le vol d'informations d'identification et le contrôle pratique à distance des systèmes compromis. Pour contrer adéquatement la menace croissante de Pikabot, les meilleures pratiques de sécurité doivent être mises en œuvre dans les entreprises :
- Utiliser logiciel de sécurité actuel
- continu Surveillance du trafic réseau
- mots de passe sécurisésr et authentification multifacteur
- entraînement régulier à la sensibilisation à la sécurité
- systématique Gestion des correctifs
- sauvegardes régulières et créer un plan de réponse aux incidents.
Logpoint Converged SIEM fournit une plate-forme de sécurité complète qui permet une détection et une réponse efficaces aux menaces. Grâce à sa capacité EDR via les capacités natives de l'agent AgentX et SOAR, il permet des enquêtes et des réponses automatisées sur les menaces pour répondre aux menaces complexes comme Pikabot.
Plus sur Logpoint.com
À propos de Logpoint Logpoint est le fabricant d'une plateforme fiable et innovante pour les opérations de cybersécurité. En combinant une technologie avancée et une compréhension approfondie des défis des clients, Logpoint renforce les capacités des équipes de sécurité et les aide à lutter contre les menaces actuelles et futures. Logpoint propose des technologies de sécurité SIEM, UEBA, SOAR et SAP qui convergent vers une plateforme complète qui détecte efficacement les menaces, minimise les faux positifs, priorise les risques de manière autonome, répond aux incidents et bien plus encore.
Articles liés au sujet