O Pikabot backdoor malicioso é modular, com um carregador e um componente principal que implementa a maior parte da funcionalidade. Várias técnicas anti-análise são empregadas, dificultando a detecção de atividades maliciosas.
A análise encontrou uma semelhança com o Qakbot em termos de modo de distribuição, campanhas e comportamento do malware, sem indicar se são os mesmos autores de malware. Ele é capaz de receber comandos de um servidor de comando e controle, que injeta qualquer shellcode, DLL ou arquivo executável.
Funcionalidade maliciosa
Após a infecção inicial pelo carregador, o módulo principal implementa a funcionalidade maliciosa, que inclui a capacidade de executar comandos arbitrários e injetar a carga real. Ele usa um injetor de código que descriptografa o módulo principal. Eles usam várias técnicas anti-análise, como a função da API do Windows Beep para atrasar a execução, a função da API do Windows CheckRemoteDebuggerPresent ou recarregar bibliotecas falsas para detectar sandboxes. Além disso, informações do sistema, como memória ou número de processadores, são consultadas. Além disso, a ferramenta pública ADVobfuscator é usada para ofuscar strings importantes do malware. Se os testes de anti-análise falharem, o Pikabot irá parar de funcionar.
Ao recarregar os módulos principais, o Pikabot procede da seguinte forma: Primeiro, é carregado um conjunto de imagens png armazenadas na área de recursos. Estes são decodificados por uma operação XOR bit a bit. Cada uma das imagens contém uma parte criptografada do módulo principal. Uma chave de 32 bytes é usada para descriptografar o código via AES (modo CBC), com os primeiros 16 bytes dos dados criptografados sendo usados como vetor de inicialização. Depois de descriptografar a carga útil principal, o injetor Pikabot cria um processo em um caminho de dados, como WerFault, e injeta o módulo principal.
atraso na execução
Semelhante ao injetor, o módulo principal também conta com verificações anti-análise adicionais, como uma “função de suspensão” para atrasar a execução. Isso inclui a função API NtContinue com um temporizador para ativação. Além desses testes, é registrado o idioma do sistema infectado. Se um dos seguintes idiomas for descoberto, a execução será abortada: georgiano, cazaque, uzbeque, tadjique, russo, ucraniano, bielorrusso ou esloveno. Esta abordagem é frequentemente observada entre os agentes de ameaças dos países da CEI para evitar processos judiciais. Após a conclusão do processo de carregamento, o Pikabot registra o host comprometido no servidor de comando e controle usando as informações coletadas do sistema. Semelhante a outras botnets, é criado um identificador exclusivo. Quando o registro for concluído, o Pikabot inicia sua atividade com consultas ao servidor.
Mais em Zscaler.com
Sobre Zscaler O Zscaler acelera a transformação digital para que os clientes possam se tornar mais ágeis, eficientes, resilientes e seguros. O Zscaler Zero Trust Exchange protege milhares de clientes contra ataques cibernéticos e perda de dados, conectando com segurança pessoas, dispositivos e aplicativos em qualquer lugar. O Zero Trust Exchange baseado em SSE é a maior plataforma de segurança em nuvem em linha do mundo, distribuída em mais de 150 data centers em todo o mundo.