Sobre el cargador Pikabot
Pikabot es un cargador, un tipo de malware diseñado para ser el vehículo de entrega de otros tipos de software malicioso. Hizo su primera aparición a principios de 2023 y desde entonces ha sido utilizado por diversos actores de amenazas para propagar amenazas como Cobalt Strike o distintas formas de ransomware.
Tras la interrupción de la botnet Qakbot, Pikabot surgió como una alternativa y se volvió especialmente activo en la segunda mitad de 2023.
Inicialmente, se distribuía a través de campañas de malspam y malvertising que promocionaban software aparentemente legítimo, como AnyDesk, Slack y Zoom.
Sin embargo, su actividad se detuvo en diciembre de 2023, posiblemente debido al resurgimiento de una nueva versión de QakBot. Ahora, vuelve con modificaciones significativas en su código y su enfoque.
Nuevas características.
Los investigadores de Elastic Security Labs han detectado una nueva campaña de Pikabot, que comenzó el 8 de febrero de 2024, utilizando correos electrónicos de phishing como método de acceso inicial.
Estos correos electrónicos contienen enlaces que digieren a archivos ZIP que contienen código JavaScript ofuscado. Una vez ejecutado, el código utiliza PowerShell para descargar y ejecutar el cargador de Pikabot.
El análisis del cargador de Pikabot realizado por Elastic Security Labs y Zscaler revela varias diferencias con respecto a versiones anteriores del malware:
- Algoritmos de cifrado simplificados, con menos funciones RC4 en línea.
- Métodos anti-depuración para eludir la detección.
- La configuración del bot se presenta en texto plano durante la ejecución, eliminando el formato JSON.
- Ya no se utiliza AES en las comunicaciones de red.
“Las decisiones de diseño en esta nueva versión son intrigantes y podrían marcar el comienzo de una nueva fase de desarrollo. Aunque la funcionalidad es similar a versiones anteriores, comentaron los investigadores de Elastic Security Labs.
El regreso de Pikabot destaca la constante evolución del panorama de amenazas cibernéticas, subrayando la necesidad de una vigilancia continua y una adaptación ágil en las estrategias de ciberseguridad.