Pikabot: tarnen und täuschen

Pikabot: tarnen und täuschen

Beitrag teilen

Pikabot ist ein hochentwickelter und modularer Backdoor-Trojaner, der Anfang 2023 erstmals aufgetaucht ist. Seine bemerkenswerteste Eigenschaft liegt in der Fähigkeit seines Loaders, Nutzlasten zu übermitteln, die mit fortschrittlichen Verteidigungsumgehungstechniken kombiniert werden.

Über einen Command-and-Control-Server kann der Angreifer remote die Kontrolle übernehmen und diverse Befehle ausführen, darunter das Einschleusen von Shellcode, DLLs oder ausführbaren Dateien. Die Autoren von Pikabot haben zudem mehrere Anti-Analyse-Techniken implementiert, um automatische Analysen in Sandbox- und Forschungsumgebungen zu verhindern. Dazu gehören Anti-Debugger- und Anti-VM-Techniken sowie Methoden zur Erkennung von Sandbox-Umgebungen. In Bezug auf seine Kampagnen ähnelt Pikabot durch seine bösartigen Merkmale und Verbreitungsstrategien dem Quakbot-Trojaner.

Anzeige

Verschiedene Verbreitungsmethoden

Die Verbreitung erfolgt über Mal-Spamming, E-Mail-Hijacking oder Malvertising. Die unterschiedlichen Verbreitungsmethoden, wie die Nutzung von PDF-Dateien bei Phishing-Angriffen, macht Pikabot zu einer bedeutenden Herausforderung für Sicherheitsanalysten. Die technische Analyse enthüllt die raffinierten Umgehungstechniken, Verschlüsselungsmechanismen und Verhaltensmuster von Pikabot. Es handelt sich um eine modulare Backdoor-Malware, die ihre Opfer durch Spam-Kampagnen und E-Mail-Hijacking angreift, inde sie einen Loader und ein Kernmodul verwendet. Der Loader ist dafür verantwortlich, die Hauptkomponente der Malware ins System zu laden.

Pikabot äußert sich als sehr gefährlich, da es Ziele wie Krypto-Mining, Installation von Spyware und Ransomware, Diebstahl von Anmeldeinformationen sowie die praktische Fernsteuerung kompromittierter Systeme verfolgt. Um der zunehmenden Gefahr durch Pikabot angemessen entgegenzuwirken, sollten bewährte Sicherheitspraktiken in Unternehmen implementiert werden:

  • Verwendung aktueller Sicherheitssoftware
  • kontinuierliche Überwachung des Netzwerkverkehrs
  • sichere Passwörter und Multi-Faktor-Authentifizierung
  • regelmäßige Schulungen zum Sicherheitsbewusstsein
  • systematische Patch-Verwaltung
  • regelmäßige Backups und die Erstellung eines Plans zur Reaktion auf Zwischenfälle.

Mit Logpoint Converged SIEM steht eine umfassende Sicherheitsplattform zur Verfügung, die eine effektive Erkennung und Reaktion auf Bedrohungen ermöglicht. Mit seiner EDR-Fähigkeit durch den nativen Agenten AgentX sowie SOAR-Funktionen ermöglicht es automatisierte Bedrohungsuntersuchungen und Maßnahmen, um auf komplexe Bedrohungen wie Pikabot entsprechend reagieren zu können.

Mehr bei Logpoint.com

 


Über Logpoint

Logpoint schützt die Gesellschaft in einer digitalen Welt, indem es Kunden und Managed Security Service Providern (MSSPs) hilft, Cyberangriffe zu erkennen. Durch die Kombination von zuverlässiger Technologie mit einem tiefgreifenden Verständnis der Herausforderungen im Bereich der Cybersicherheit erleichtert Logpoint die Sicherheitsabläufe und gibt Unternehmen die Freiheit, sich weiterzuentwickeln. Die SIEM- und NDR-Technologien von Logpoint verbessern die Transparenz und bieten einen mehrschichtigen Ansatz für die Cybersicherheit, der Kunden und MSSPs in Europa hilft, sich in der komplexen Bedrohungslandschaft zurechtzufinden.


 

Passende Artikel zum Thema

Application-Security: Deutschland ist Vorreiter

Der neueste ASPM Report zeigt, dass deutsche Unternehmen aktiver an der Verbesserung ihrer Application-Security arbeiten. Fast 70 Prozent von ihnen ➡ Weiterlesen

Cyberangriffe: Diese Schwachstellen sind Hauptziele

Durch die Analyse von vielen, weltweiten Cybervorfällen war es möglich die drei größten Schwachstellen zu identifizieren: Dazu gehören ineffizientes Schwachstellenmanagement, ➡ Weiterlesen

KI-Dienste: Überwachen und Schwachstellen erkennen

65 Prozent der Unternehmen nutzen generative KI in einer oder mehreren Funktionen. KI-Dienste bieten viele Vorteile, aber gleichzeitig auch viele ➡ Weiterlesen

Handlungsbedarf in Sachen DORA

Warum Finanzinstitute hinsichtlich DORA jetzt handeln müssen, um die operative Widerstandsfähigkeit zu sichern. Mit dem endgültigen Inkrafttreten des Digital Operational ➡ Weiterlesen

E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2

E-Mail-Sicherheit nimmt eine zentrale Rolle für die Cybersicherheit des ganzen Unternehmens ein. Denn E-Mail ist nicht nur der wichtigste Kommunikationskanal ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Wiederherstellung nach Cyberangriffen beschleunigen

Viele IT- und Sicherheitsverantwortliche machen sich Sorgen, ob ihr Unternehmen nach einem Cyberangriff noch geschäftsfähig ist, bzw. wie schnell es ➡ Weiterlesen

Bedrohungsschutz: APIs für IBM QRadar und Microsoft Sentinel

Ab sofort haben auch Nutzer von IBM QRadar SIEM und Microsoft Sentinel mittels eigener APIs Zugriff auf die umfangreichen Bedrohungsdaten ➡ Weiterlesen