Cyberthreat.id - Kampanye phishing yang mengirimkan keluarga malware seperti DarkGate dan PikaBot mengikuti taktik yang sama yang sebelumnya digunakan dalam serangan dengan memanfaatkan trojan QakBot yang sekarang sudah tidak berfungsi.

“Ini termasuk rangkaian email yang dibajak sebagai infeksi awal, URL dengan pola unik yang membatasi akses pengguna, dan rantai infeksi yang hampir identik dengan apa yang telah kita lihat pada pengiriman QakBot,” kata Cofense dalam laporan yang dibagikan kepada The Hacker News.

“Keluarga malware yang digunakan juga mengikuti apa yang kami harapkan akan digunakan oleh afiliasi QakBot.”

QakBot, juga disebut QBot dan Pinkslipbot, ditutup sebagai bagian dari upaya penegakan hukum terkoordinasi dengan nama sandi Operation Duck Hunt  pada awal Agustus ini.

Penggunaan DarkGate dan PikaBot dalam kampanye ini tidak mengherankan karena keduanya dapat bertindak sebagai saluran untuk mengirimkan muatan tambahan ke host yang disusupi, sehingga keduanya merupakan pilihan yang menarik bagi penjahat dunia maya.

Persamaan PikaBot dengan QakBot sebelumnya disorot oleh Zscaler dalam analisisnya terhadap malware pada Mei 2023, dengan mencatat kesamaan dalam "metode distribusi, kampanye, dan perilaku malware".

DarkGate, pada bagiannya, menggabungkan teknik-teknik canggih untuk menghindari deteksi oleh sistem antivirus, di samping kemampuan untuk mencatat penekanan tombol, mengeksekusi PowerShell, dan mengimplementasikan shell terbalik yang memungkinkan operatornya mengambil alih host yang terinfeksi dari jarak jauh.

“Koneksinya bersifat dua arah, artinya penyerang dapat mengirimkan perintah dan menerima respons secara real-time, memungkinkan mereka menavigasi sistem korban, mengambil data, atau melakukan tindakan jahat lainnya,” kata Sekoia dalam laporan teknis terbaru mengenai malware tersebut.

Analisis Cofense terhadap kampanye phishing bervolume tinggi menunjukkan bahwa kampanye ini menargetkan berbagai sektor, dengan rantai serangan menyebarkan URL jebakan yang mengarah ke arsip ZIP di rangkaian email yang dibajak.

Arsip ZIP berisi dropper JavaScript yang, pada gilirannya, menghubungi URL kedua untuk mengunduh dan menjalankan malware DarkGate atau PikaBot.

Varian penting dari serangan ini telah diamati memanfaatkan file add-in Excel (XLL) sebagai pengganti dropper JavaScript untuk mengirimkan muatan akhir.

“Infeksi DarkGate atau PikaBot yang berhasil dapat menyebabkan pengiriman perangkat lunak penambangan kripto yang canggih, alat pengintaian, ransomware, atau file berbahaya lainnya yang ingin dipasang oleh pelaku ancaman di mesin korban,” kata Cofense.[]