Der Malware-Loader Pikabot ist eine hartnäckige Bedrohung und kehrt mit neuen Taktiken zurück.

The Pikabot malware loader is a persistent threat and is back with new tactics.

Der Malware-Loader Pikabot hat in den letzten Monaten eine Evolution durchlaufen, die nun von den Analysten des ZscalerThreatLabZ Teams genauer untersucht wurde. Er wurde erstmals Anfang 2023 identifiziert: Pikabot hatte nach dem vom FBI erzwungenen Rückzug von Qakbot im August letzten Jahres an Aktivität gewonnen, legte aber im Dezember eine vorübergehende Ruhephase ein. Nun ist die Bedrohung mit verändertem Code zurückgekehrt.

Spracherkennung

Wie in früheren Versionen wird Pikabot die Ausführung stoppen, wenn die Sprache des Betriebssystems eine der folgenden ist:

Russisch (Russland)

Ukrainisch (Ukraine)

Dies ist wahrscheinlich ein Hinweis darauf, dass die Bedrohungsakteure hinter Pikabot russischsprachig sind und sich möglicherweise in der Ukraine und/oder Russland befinden. Die Sprachprüfung verringert die Wahrscheinlichkeit von Strafverfolgung und möglicher Strafverfolgung in diesen Regionen.

Die bisherigen Verschlüsselungstechniken wurden durch einfachere Algorithmen ersetzt, die den Cyberkriminellen die Arbeit erleichtern. Konfigurationselemente wurden in einem einzigen Speicherblock zusammengefasst, um die Effizienz zu erhöhen. Darüber hinaus deuten Änderungen an den Netzwerkkommunikationsprotokollen auf einen koordinierten Versuch hin, die Erkennung zu umgehen.

Pikabot besteht aus zwei Komponenten in Form eines Laders und eines Kernmoduls, das für die Ausführung von Befehlen und die Injektion von Nutzlasten verantwortlich ist. Ein Code-Injektor ist für die Auslieferung des Kernmoduls verantwortlich. Verschiedene Anti-Analyse-Techniken und String-Verschleierung werden verwendet. Die analysierten Verbreitungsmuster, Kampagnen und das Verhalten der Malware ähneln denen von Qakbot. Die Malware fungiert als Hintertür, die es Angreifern ermöglicht, die Kontrolle über das infizierte System zu übernehmen und weiteren Schadcode wie Cobalt Strike nachzuladen.

Bei der neuen Variante von Pikabot fallen vor allem die Anti-Analyse-Methoden auf, die die Erkennung des Codes zeitaufwändiger machen. Frühere Verschlüsselungsmethoden wie die Kombination eines RC4-Algorithmus mit AES-CBC wurden durch einfachere Alternativen ersetzt. In der neuesten Version werden die meisten Zeichenketten durch Aufrufen jedes einzelnen Buchstabens und anschließendes Schieben in den Stack konstruiert oder in einigen Fällen nur mit dem RC4-Algorithmus verschlüsselt.

Wichtige Änderungen wurden auch bei der Initialisierung vorgenommen. Einstellungen und Informationen werden jetzt in einer einzigen globalen Struktur gespeichert, was die Betriebseffizienz verbessert. Die Speicherung von Konfigurationselementen im Klartext unterscheidet sich von früheren Verschlüsselungspraktiken. Nach dem Parsen der Konfiguration werden alle Bytes auf Null gesetzt. Diese Anti-Dumping-Methode verhindert, dass die Konfiguration automatisch extrahiert wird. Abschließend lädt Pikabot die verbleibenden Windows-API-Funktionen und generiert einen Bot-Identifier für den kompromittierten Host.

Die Interaktion von Pikabot mit Command and Control Servern (C&C) hat sich ebenfalls stark verändert. Kompromittierte Hosts werden auf einem C&C-Server registriert, was die Kommunikation und den Datenaustausch erleichtert. Anschließend werden Informationen über den Host wie Monitor-Einstellungen, Windows-Version, Host-/Benutzername, Prozessinformationen usw. gesammelt. Im nächsten Schritt verschlüsselt Pikabot die Daten mit einem RC4-Algorithmus, verschlüsselt das verschlüsselte Ergebnis, wählt eine zufällige URI und sendet die Daten mit einer POST-Anfrage an den C&C-Server.

Trotz aller Bemühungen, Pikabot zu bekämpfen, bleibt er eine hartnäckige und sich ständig weiterentwickelnde Bedrohung für die Cybersicherheit. Das erneute Auftauchen der Malware im Februar 2024 unterstreicht die ständige Weiterentwicklung und Anpassungsfähigkeit, auch wenn die Entwickler seitdem eine andere Strategie der Komplexitätsreduktion verfolgen. Einige Funktionen und Befehle scheinen sich noch in der Entwicklung zu befinden. Das ThreatLabz-Team verfolgt die Entwicklung von Pikabot, um die Erkennungsmechanismen in der Zscaler Zero Trust Exchange kontinuierlich zu aktualisieren und so die Kunden zu schützen.

The Pikabot malware loader has undergone an evolution over the past few months, which has now been further investigated by analysts on the ZscalerThreatLabZ team. It was first identified in early 2023: Pikabot had gained activity following the FBI’s forced takedown of Qakbot last August, but went into temporary dormancy in December. Now the threat has returned with modified code.

Language Recognition

As in previous versions, Pikabot will stop execution if the operating system language is one of the following

Russian (Russia)

Ukrainian (Ukraine)

This is likely an indication that the threat actors behind Pikabot are Russian-speaking and may reside in Ukraine and/or Russia. The language check reduces the chance of law enforcement action and potential criminal prosecution in those regions.

In recent campaigns, which started in February 2024, Pikabot reemerged with significant changes in its code base and structure. Although it appears to be in a new development cycle and testing phase, the developers have reduced the complexity of the code by removing advanced obfuscation techniques and changing the network communications.

Key Takeaways

Pikabot is a malware loader that was first observed in early 2023 and became very active following the takedown of Qakbot in August 2023.

In December 2023, Pikabot activity ceased, possibly as a result of a new version of Qakbot that emerged. In February 2024, a new version of Pikabot was released with significant changes.

Previous versions of Pikabot used advanced string encryption techniques, which have been replaced with simpler algorithms.

Pikabot now stores all configuration elements in a single memory block, similar to Qakbot. In prior versions, Pikabot decrypted necessary configuration elements only when required.

Pikabot continues to use HTTP for command-and-control, but its network protocol has changed, including the network command IDs and the encryption algorithms.

Technical Analysis

As covered in previous technical analysis by Zscaler of Pikabot, the malware consists of two components: a loader and a core module. The core module is responsible for executing commands and injecting payloads from a command-and-control server. The malware uses a code injector to decrypt and inject the core module. It employs various anti-analysis techniques and string obfuscation. Pikabot uses similar distribution methods, campaigns, and behaviors as Qakbot. The malware acts as a backdoor, allowing the attacker to control the infected system and distribute other malicious payloads such as Cobalt Strike.

Anti-analysis techniques

As with previous versions of Pikabot, this variant employs a series of different anti-analysis techniques to make the analysis more time-consuming. It should be noted that none of the methods below presents any significant advanced capabilities. Furthermore, Pikabot used a series of more advanced detection features in its loader component in previous versions of the malware.

Strings encryption

The most notable change is the string obfuscation. In previous versions of Pikabot, each string was obfuscated by combining the RC4 algorithm with AES-CBC. This method was highly effective in preventing analysis, particularly when it came to automated configuration extraction. To successfully analyze Pikabot, an analyst would need to detect not only the encrypted string but also its unique RC4 key. Additionally, they would need to extract the AES key and initialization vector, which are unique to each Pikabot payload. It should be noted that the approach the Pikabot malware developers followed is similar to the ADVobfuscator.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner