Certified Security Operations Center GmbH

12. Dezember 2023

Pikabot wütet im Netz: Eine Analyse der neuen Malware-Bedrohung

Kürzlich analysierten wir einen E-Mail Anhang, welcher als „LABORIOSAMv2.js“ identifiziert wurde. Er wurde von einem Kunden als ZIP-Datei heruntergeladen und gab uns wichtige Einblicke in das Verhalten des Trojaners. Pikabot, der erstmals Anfang 2023 identifiziert wurde und aus zwei Komponenten besteht: einem Loader und einem Kernmodul. Forscher vermuten eine Verbindung zu TA570 und dem Qbot-Trojaner aufgrund ähnlicher Liefermethoden und zeitlicher Überschneidungen.

So arbeitet Pikabot

Die Infektion beginnt mit einer bösartigen E-Mail, die einen Link zu einer JavaScript-Datei enthält, welche die Pikabot-DLL herunterlädt. Die Skripte sind getarnt, um Legitimität vorzutäuschen. Es werden Methoden wie das Verbergen von Fenstern und das Ausführen von Befehlen über Umwege verwendet.

Der Loader umgeht Anti-Debugging-, Anti-VM- und Anti-Emulationsschutzmaßnahmen, um die Kernkomponente zu injizieren. Pikabot verwendet dynamische API-Auflösung und Anti-Debugging-Techniken, um unentdeckt zu bleiben. Anschließend extrahiert der Loader das Kernmodul aus PNG-Dateien im Ressourcenbereich. Ein 20-Byte-XOR-Schlüssel wird zur Entschlüsselung verwendet. Das Kernmodul ermöglicht es dem Angreifer dann, die Kontrolle über das Opfergerät zu erlangen. Nach der Ausführung wird eine Verbindung zu einem Command & Control, kurz C&C-Server, bei einem bekannten Webhoster hergestellt und versucht, ein Command Panel (CPL) nachzuladen.

Diese Malware-Bedrohung zeichnet sich durch ihre Zweikomponentenstruktur, ausgeklügelte Täuschungstaktiken, robuste Anti-Analyse-Maßnahmen und ein mächtiges Kernmodul aus, das erhebliche Schäden anrichten kann. Ihre Entwicklung erfordert eine genaue Überwachung und fortgeschrittene Abwehrstrategien.

Schlussfolgerungen

Die Tarnung sowie die komplexen Verhaltensweisen von „LABORIOSAMv2.js“ unterstreichen die Notwendigkeit fortlaufender Wachsamkeit und fortschrittlicher Erkennungsmechanismen im Kampf gegen Malware. Die Nichterkennung durch multiple Sicherheitsanbieter weist auf eine fortgeschrittene Natur und das potenzielle Risiko dieser spezifischen Malware hin.

Diese Analyse zeigt die Komplexität und die Tücke moderner Malware auf. Trotz der fortgeschrittenen Erkennungsmechanismen kann „LABORIOSAMv2.js“ als Beispiel dafür dienen, wie selbst scheinbar harmlose Dateien zu einer potenziellen Bedrohung werden können.

Unsere Empfehlungen:

  • Neuinstallation des betroffenen Systems: Diese Maßnahme wurde bereits umgesetzt.
  • Rücksetzen der Passwörter betroffener Benutzer: Ebenfalls bereits erfolgt.
  • Awareness-Schulungen für Mitarbeiter: Für Mitarbeiter, die auf den Anhang geklickt haben, empfehlen wir zusätzliche Schulungen und Belehrungen, um das Bewusstsein für solche Bedrohungen zu schärfen.
error: