Water Curupira Hackers Distribuiscono Attivamente il Malware PikaBot Loader: Analisi e Implicazioni
Un avvertimento cruciale si leva dall’ambito della sicurezza informatica: i Water Curupira Hackers sono attivi nel diffondere attivamente il pericoloso malware PikaBot Loader. Questo gruppo di minacce ha orchestrato diverse campagne di spam nel 2023, con l’obiettivo di distribuire il pericoloso PikaBot Loader, come sottolineato nel recente rapporto pubblicato da Trend Micro.
Il modus operandi di PikaBot coinvolge svariate tattiche di ingegneria sociale e di exploit delle vulnerabilità di sicurezza. Attraverso un duplice strumento, costituito da un loader e un modulo centrale, il malware permetteva agli attaccanti di ottenere accesso non autorizzato e di eseguire comandi arbitrari attraverso una connessione al loro server di comando e controllo (C&C).
Cybersecurity
Le attività maliziose sono emerse nel primo trimestre del 2023, rimanendo attive fino alla fine di giugno, per poi risorgere con maggiore intensità a settembre. Queste azioni coincidono con campagne passate che hanno utilizzato strategie simili per diffondere il QakBot, in particolare quelle gestite da gruppi criminali noti come TA571 e TA577.
Si ipotizza che l’incremento delle campagne di phishing associate a PikaBot sia conseguenza della disattivazione di QakBot ad agosto, con DarkGate che si è profilato come suo successore.
PikaBot, principalmente un loader, si propone di avviare un secondo payload, tra cui il Cobalt Strike, uno strumento legittimo di post-exploitation che spesso apre la strada all’installazione di ransomware.
Le tecniche di attacco coinvolgono il “email thread hijacking”, sfruttando conversazioni di posta elettronica esistenti per indurre i destinatari ad aprire link o allegati dannosi, innescando così l’esecuzione del malware.
Cybersecurity
Gli allegati ZIP, contenenti JavaScript o file IMG, fungono da punto di partenza per PikaBot. Il malware, attentamente, verifica la lingua del sistema e interrompe l’esecuzione se rileva che sia russo o ucraino.
Successivamente, raccoglie informazioni sul sistema della vittima e le invia a un server C&C sotto forma di dati JSON. Le campagne condotte dai Water Curupira mirano al rilascio del Cobalt Strike, aprendo la strada al ransomware Black Basta.
“Questo gruppo di minacce ha orchestrato diverse campagne di spam DarkGate e un numero limitato di campagne IcedID durante le prime settimane del terzo trimestre del 2023, ma ha poi focalizzato le proprie energie esclusivamente su PikaBot,” ha dichiarato Trend Micro.
Questo avvertimento sottolinea l’importanza di una cybersecurity robusta e vigilante contro le continue minacce provenienti da gruppi come i Water Curupira Hackers.