La backdoor dannosa Pikabot è modulare, con un caricatore e un componente principale che implementa la maggior parte delle funzionalità. Vengono impiegate numerose tecniche anti-analisi, che rendono difficile il rilevamento di attività dannose.
L'analisi ha rilevato una somiglianza con Qakbot in termini di modalità di distribuzione, campagne e comportamento del malware, senza alcuna indicazione se siano gli stessi autori del malware. È in grado di ricevere comandi da un server di comando e controllo, che inietta qualsiasi shellcode, DLL o file eseguibile.
Funzionalità dannosa
Dopo l'infezione iniziale da parte del caricatore, il modulo principale implementa la funzionalità dannosa, che include la capacità di eseguire comandi arbitrari e iniettare il payload effettivo. Utilizza un iniettore di codice che decrittografa il modulo principale. Usano una serie di tecniche anti-analisi, come la funzione API di Windows Beep per ritardare l'esecuzione, la funzione API di Windows CheckRemoteDebuggerPresent o il ricaricamento di false librerie per rilevare le sandbox. Inoltre, vengono richieste informazioni di sistema come la memoria o il numero di processori. Inoltre, lo strumento pubblico ADVobfuscator viene utilizzato per offuscare stringhe importanti del malware. Se i test anti-analisi falliscono, Pikabot smetterà di funzionare.
Quando si ricaricano i moduli principali, Pikabot procede come segue: Innanzitutto, viene caricato un set di immagini png memorizzate nell'area delle risorse. Questi vengono decodificati da un'operazione XOR bit a bit. Ciascuna delle immagini contiene una parte crittografata del modulo principale. Una chiave a 32 byte viene utilizzata per decrittografare il codice tramite AES (modalità CBC), con i primi 16 byte dei dati crittografati utilizzati come vettore di inizializzazione. Dopo aver decrittografato il payload principale, l'iniettore Pikabot crea un processo su un percorso dati, come WerFault, e inietta il modulo principale.
ritardo nell'esecuzione
Similmente all'iniettore, anche il modulo principale si basa su ulteriori controlli anti-analisi, come una "funzione sleep" per ritardare l'esecuzione. Ciò include la funzione API NtContinue con timer per l'attivazione. Oltre a questi test viene registrata la lingua del sistema infetto. Se viene rilevata una delle seguenti lingue, l'ulteriore esecuzione verrà interrotta: georgiano, kazako, uzbeko, tagico, russo, ucraino, bielorusso o sloveno. Questo approccio è spesso osservato tra gli autori di minacce provenienti dai paesi della CSI per evitare procedimenti giudiziari. Una volta completato il processo di caricamento, Pikabot registra l'host compromesso sul server di comando e controllo utilizzando le informazioni di sistema raccolte. Similmente ad altre botnet, viene creato un identificatore univoco. Una volta completata la registrazione, Pikabot inizia la sua attività con interrogazioni al server.
Altro su Zscaler.com
A proposito di Zscaler Zscaler accelera la trasformazione digitale in modo che i clienti possano diventare più agili, efficienti, resilienti e sicuri. Zscaler Zero Trust Exchange protegge migliaia di clienti da attacchi informatici e perdita di dati collegando in modo sicuro persone, dispositivi e applicazioni ovunque. Zero Trust Exchange basato su SSE è la più grande piattaforma di sicurezza cloud in linea al mondo, distribuita in oltre 150 data center in tutto il mondo.