Pikabot è un trojan backdoor sofisticato e modulare apparso per la prima volta all'inizio del 2023. La sua caratteristica più notevole risiede nella capacità del suo caricatore di trasportare carichi utili combinati con tecniche avanzate di evasione difensiva.
Utilizzando un server di comando e controllo, l'aggressore può assumere il controllo da remoto ed eseguire vari comandi, tra cui l'inserimento di shellcode, DLL o file eseguibili. Gli autori di Pikabot hanno inoltre implementato diverse tecniche anti-analisi per impedire l'analisi automatica negli ambienti sandbox e di ricerca. Ciò include tecniche anti-debugger e anti-VM nonché metodi di rilevamento dell'ambiente sandbox. In termini di campagne, Pikabot è simile al trojan Quakbot per le sue caratteristiche dannose e le strategie di distribuzione.
Diversi metodi di distribuzione
Si diffonde tramite mal-spamming, dirottamento della posta elettronica o malvertising. I diversi metodi di distribuzione, come l’utilizzo di file PDF negli attacchi di phishing, rendono Pikabot una sfida significativa per gli analisti della sicurezza. L'analisi tecnica rivela le sofisticate tecniche di evasione, i meccanismi di crittografia e i modelli di comportamento di Pikabot. Si tratta di un malware backdoor modulare che attacca le sue vittime attraverso campagne di spam e dirottamento della posta elettronica utilizzando un caricatore e un modulo principale. Il caricatore è responsabile del caricamento del componente principale del malware nel sistema.
Pikabot si rivela molto pericoloso in quanto persegue obiettivi come il mining di criptovalute, l'installazione di spyware e ransomware, il furto di credenziali e il controllo remoto dei sistemi compromessi. Per contrastare adeguatamente la crescente minaccia di Pikabot, nelle aziende dovrebbero essere implementate le migliori pratiche di sicurezza:
- Utilizzare software di sicurezza attuale
- continuierliche Monitoraggio del traffico di rete
- password sicurer e autenticazione a più fattori
- formazione regolare alla consapevolezza della sicurezza
- sistematico Gestione delle patch
- backup regolari e la creazione di un piano di risposta agli incidenti.
Logpoint Converged SIEM fornisce una piattaforma di sicurezza completa che consente un rilevamento e una risposta efficaci alle minacce. Con la sua funzionalità EDR tramite l'agente nativo AgentX e le funzionalità SOAR, consente indagini e risposte automatizzate sulle minacce per rispondere a minacce complesse come Pikabot.
Maggiori informazioni su Logpoint.com
Informazioni su Logpoint Logpoint è il produttore di una piattaforma affidabile e innovativa per le operazioni di sicurezza informatica. Con la combinazione di tecnologia avanzata e una profonda comprensione delle sfide dei clienti, Logpoint rafforza le capacità dei team di sicurezza e li aiuta a combattere le minacce attuali e future. Logpoint offre tecnologie di sicurezza SIEM, UEBA, SOAR e SAP che convergono in una piattaforma completa che rileva in modo efficiente le minacce, riduce al minimo i falsi positivi, assegna autonomamente la priorità ai rischi, risponde agli incidenti e altro ancora.
Articoli relativi all'argomento