È stato recentemente scoperto un nuovo e insidioso trojan malware chiamato Pikabot, il quale rappresenta una minaccia significativa per la sicurezza informatica. Questa sofisticata forma di malware è emersa all’inizio del 2023, catturando l’attenzione degli esperti di sicurezza. Con l’aggiornamento di giugno di Sophos NDR, è stata introdotta una potente funzionalità di machine learning che permette di individuare il traffico crittografato associato alle comunicazioni sospette di Pikabot. Questo avanzato sistema di rilevamento è stato implementato con successo nei sensori di Sophos NDR, senza richiedere ulteriori aggiornamenti.
Come funziona Pikabot
Il funzionamento di Pikabot si basa su una struttura modulare, composta da un loader e un modulo centrale, che lavorano in sinergia per portare a termine le sue attività dannose. L’obiettivo principale di Pikabot è creare una backdoor all’interno dei sistemi compromessi, permettendo agli attaccanti di ottenere accesso remoto non autorizzato.
Il malware riceve istruzioni da un server di comando e controllo (C2), che può inviare comandi che spaziano dall’iniezione di shellcode, DLL o file eseguibili arbitrari, fino alla distribuzione di strumenti dannosi aggiuntivi, come il noto Cobalt Strike. Questo suggerisce che Pikabot potrebbe essere coinvolto in attacchi sofisticati e multilivello.
La gamma di comandi eseguibili da Pikabot è estremamente ampia e pericolosa. Tra le sue funzionalità, è in grado di eseguire istruzioni di shell, recuperare ed eseguire file EXE o DLL, inviare informazioni dettagliate sul sistema compromesso, modificare l’intervallo di check-in con il server di comando e controllo e persino eseguire un comando “destroy” (che, però, al momento non sembra essere stato implementato).
La distribuzione
Quanto alla sua modalità di diffusione, gli esperti hanno inizialmente ipotizzato che Pikabot fosse distribuito attraverso il noto trojan Qakbot. Tuttavia, non è ancora stato possibile determinare con certezza i meccanismi esatti di diffusione utilizzati da Pikabot, ma ci sono evidenti somiglianze con le campagne di Qakbot riscontrate in precedenza.
Il modus operandi di Pikabot
La struttura modulare di Pikabot consente ad esso di svolgere diverse attività dannose. Benché il componente loader abbia funzionalità limitate, il modulo centrale è quello in cui si svolge la vera e propria azione. Pikabot utilizza un iniettore per eseguire test anti-analisi prima di decifrare e iniettare il payload del modulo centrale. Se uno di questi test fallisce, Pikabot interrompe la sua esecuzione, rendendo difficile per i ricercatori analizzare e interpretare le sue azioni.
In termini di tecniche anti-analisi, Pikabot controlla la presenza di debugger, breakpoint e informazioni di sistema. Utilizza strumenti pubblici come ADVobfuscator per l’offuscamento delle stringhe e dispone di numerosi metodi per rilevare ambienti sandbox, debug e altri tentativi di analisi.
Il payload del modulo principale è abilmente crittografato e memorizzato in immagini PNG. Queste immagini vengono decifrate utilizzando una chiave a 32 byte codificata e i dati decifrati vengono ulteriormente elaborati utilizzando AES (modalità CBC). Il payload viene quindi iniettato in un processo specifico come WerFault, con Pikabot che imposta alcuni flag per proteggere il processo iniettato da binari Microsoft non firmati.
Risultati interessanti
Una delle caratteristiche intriganti di Pikabot è la sua autoterminazione se la lingua del sistema è il georgiano, il kazako, l’uzbeko o il tagico. Ciò suggerisce che gli autori potrebbero evitare deliberatamente i sistemi in regioni geografiche specifiche. Inoltre, Pikabot sembra essere nelle sue prime fasi di sviluppo, come suggerisce il suo numero di versione (0.1.7) trovato nella sua comunicazione iniziale con il server C2.
Ci sono anche notevoli somiglianze tra Pikabot e un’altra famiglia di malware, Matanbuchus. Entrambi sono scritti in C/C++, utilizzano una ripartizione dei componenti loader/core, impiegano JSON+Base64+crypto per il traffico e fanno largo uso di stringhe hardcoded. Queste somiglianze fanno pensare a un potenziale collegamento tra le due famiglie di malware.
L’infrastruttura C2 di Pikabot
Con l’aggiornamento di giugno 2023 di Sophos NDR, abbiamo aggiunto un modello CNN per rilevare Pikabot e abbiamo già scoperto una serie di nuovi server C2:
| IP | PORT | Virus Total | JARM |
|---|---|---|---|
| 192[.]9[.]135[.]73 | 1194 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 185[.]87[.]148[.]132 | 1194 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 45[.]154[.]24[.]57 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 45[.]85[.]235[.]39 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 129[.]153[.]135[.]83 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 193[.]122[.]200[.]171 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 104[.]233[.]193[.]227 | 2078 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 94[.]199[.]173[.]6 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 132[.]148[.]79[.]222 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 38[.]54[.]33[.]239 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 144[.]172[.]126[.]136 | 2222 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 129[.]80[.]164[.]200 | 32999 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
| 129[.]153[.]22[.]231 | 32999 | Link | 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2 |
NOTE: Le informazioni di VirusTotal relative ai rilevamenti di Sophos registrano un lieve ritardo.
