Pikabot vuelve con un as bajo la manga: Novedades en su estrategia de ataque

Sobre el cargador Pikabot

Pikabot es un cargador, un tipo de malware diseñado para ser el vehículo de entrega de otros tipos de software malicioso. Hizo su primera aparición a principios de 2023 y desde entonces ha sido utilizado por diversos actores de amenazas para propagar amenazas como Cobalt Strike o distintas formas de ransomware.

Tras la interrupción de la botnet Qakbot, Pikabot surgió como una alternativa y se volvió especialmente activo en la segunda mitad de 2023.

Inicialmente, se distribuía a través de campañas de malspam y malvertising que promocionaban software aparentemente legítimo, como AnyDesk, Slack y Zoom.

Sin embargo, su actividad se detuvo en diciembre de 2023, posiblemente debido al resurgimiento de una nueva versión de QakBot. Ahora, vuelve con modificaciones significativas en su código y su enfoque.

Nuevas características.

Los investigadores de Elastic Security Labs han detectado una nueva campaña de Pikabot, que comenzó el 8 de febrero de 2024, utilizando correos electrónicos de phishing como método de acceso inicial.

Estos correos electrónicos contienen enlaces que digieren a archivos ZIP que contienen código JavaScript ofuscado. Una vez ejecutado, el código utiliza PowerShell para descargar y ejecutar el cargador de Pikabot.

El análisis del cargador de Pikabot realizado por Elastic Security Labs y Zscaler revela varias diferencias con respecto a versiones anteriores del malware:

  • Algoritmos de cifrado simplificados, con menos funciones RC4 en línea.
  • Métodos anti-depuración para eludir la detección.
  • La configuración del bot se presenta en texto plano durante la ejecución, eliminando el formato JSON.
  • Ya no se utiliza AES en las comunicaciones de red.

Pikabot vuelve con un as bajo la manga: Novedades en su estrategia de ataque

“Las decisiones de diseño en esta nueva versión son intrigantes y podrían marcar el comienzo de una nueva fase de desarrollo. Aunque la funcionalidad es similar a versiones anteriores, comentaron los investigadores de Elastic Security Labs.

El regreso de Pikabot destaca la constante evolución del panorama de amenazas cibernéticas, subrayando la necesidad de una vigilancia continua y una adaptación ágil en las estrategias de ciberseguridad.

Related Posts
Clear Filters

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

La empresa multinacional de telecomunicaciones Telefónica ha confirmado que su sistema interno de gestión de tickets fue vulnerado, lo que…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.