DarkGate и PikaBot продолжают наследие QBot после его ликвидации

Вредоносные программы DarkGate и PikaBot распространяются киберпреступниками с помощью тех же методов, что и атаках с использованием трояна QakBot, который был ликвидирован в августе. Об этом сообщила компания Cofense в своем отчете.

Платформа QakBot (QBot, Pinkslipbot), была ликвидирована в ходе совместной операции правоохранительных органов под кодовым названием Duck Hunt в августе этого года. Qakbot заразил более 700 000 компьютеров жертв, способствовало распространению вирусов-вымогателей и нанес ущерб на сотни миллионов долларов бизнесу, медицинским учреждениям и государственным структурам по всему миру.

DarkGate и PikaBot способны доставлять дополнительные нагрузки на зараженные хосты, что делает их привлекательными для злоумышленников. Сходство PikaBot с QakBot было отмечено аналитиками исходя из одинаковых методов распространения, кампании и поведения вредоносных программ.

Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий, включая установку hVNC-подключения для удаленного доступа, майнинг криптовалюты, настройку Reverse Shell, кейлоггинг, перехват буфера обмена и кражу информации (файлов, данных браузера).

В отчёте Cofense отмечается, что соединение двунаправленное, то есть атакующие могут отправлять команды и получать ответы в режиме реального времени, что позволяет им перемещаться по системе жертвы, выкачивать данные или выполнять другие злонамеренные действия.

Анализ Cofense фишинговой кампании показал, что она направлена на широкий круг секторов, а цепочки атак включают вредоносный URL-адрес в фишинговых письмах, ведущий на ZIP-архив. ZIP-архив содержит JavaScript-загрузчик, который, в свою очередь, обращается ко второму URL, чтобы загрузить и запустить вредоносную программу DarkGate или PikaBot. Примечательно, что в одном из случаев в атаке использовались файлы надстройки Excel (XLL) вместо JavaScript-загрузчиков для доставки окончательных нагрузок.

Успешное заражение DarkGate или PikaBot может привести к доставке ПО для кражи криптовалюты, установки средств отслеживания, вымогательского ПО или любого другого вредоносного файла, который злоумышленники захотят установить на машину жертвы.

Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий от удаленного доступа до кражи данных. В июне исследователи безопасности обнаружили новую фишинговую кампанию MalSpam, в ходе которой устройства жертв заражались DarkGate.По словам специалистов Telekom Security, внезапный всплеск активности DarkGate может быть связан с тем, что разработчик вредоноса начал сдавать его в аренду ограниченному кругу аффилированных лиц. Цены на подписку DarkGate начинаются от $1000 в день и доходят до $100 000 в год.

Ранее «Лаборатория Касперского» выявила глобальную кампанию по распространению вредоносного ПО PikaBot среди корпоративных пользователей. Атака началась в середине мая и достигла максимума с 15 по 18 числа. За этот период было обнаружено около 5 тысяч таких писем. PikaBot — новое семейство зловредов, которое имеет сходства с известным банковским троянцем Qbot. PikaBot может устанавливать на зараженные устройства другие зловреды или выполнять удаленные команды.