Ciberseguridad 360 | Hackers de Water Curupira distribuyen malware PikaBot Loader

Se ha observado a un grupo de hackers llamado Water Curupira distribuyendo activamente el malware cargador PikaBot como parte de campa�as de spam en 2023.

"Los operadores de PikaBot realizaban campa�as de phishing, dirigidas a las v�ctimas a trav�s de sus dos componentes -un cargador y un m�dulo central- que permit�an el acceso remoto no autorizado y la ejecuci�n de comandos arbitrarios a trav�s de una conexi�n establecida con su servidor de mando y control (C&C)", afirma Trend Micro en un informe publicado hoy.

La actividad comenz� en el primer trimestre de 2023 y dur� hasta finales de junio, antes de intensificarse de nuevo en septiembre. Tambi�n se solapa con campa�as anteriores que han utilizado t�cticas similares para distribuir QakBot, concretamente las orquestadas por grupos de ciberdelincuentes conocidos como TA571 y TA577.

Se cree que el aumento en el n�mero de campa�as de phishing relacionadas con PikaBot es el resultado del desmantelamiento de QakBot en agosto, con DarkGate emergiendo como otro sustituto.

PikaBot es principalmente un cargador, lo que significa que est� dise�ado para lanzar otra payload, incluyendo Cobalt Strike, un kit de herramientas leg�timo de post-explotaci�n que suele actuar como precursor para el despliegue de ransomware.

Las cadenas de ataque aprovechan una t�cnica llamada secuestro de hilos de correo electr�nico, empleando hilos de correo electr�nico existentes para enga�ar a los destinatarios para que abran enlaces o archivos adjuntos maliciosos, activando efectivamente la secuencia de ejecuci�n del malware.

Los archivos ZIP adjuntos, que contienen archivos JavaScript o IMG, se utilizan como plataforma de lanzamiento para PikaBot. El malware, por su parte, comprueba el idioma del sistema y detiene la ejecuci�n si es ruso o ucraniano.

En el siguiente paso, recopila detalles sobre el sistema de la v�ctima y los env�a a un servidor de C&C en formato JSON. Las campa�as de Water Curupira tienen como objetivo lanzar Cobalt Strike, que posteriormente llev� al despliegue del ransomware Black Basta.

"El actor de la amenaza tambi�n llev� a cabo varias campa�as de spam DarkGate y un peque�o n�mero de campa�as IcedID durante las primeras semanas del tercer trimestre de 2023, pero desde entonces ha pivotado exclusivamente a PikaBot", dijo Trend Micro.

Fuente: thehackernews