Un gruppo di hacker che viene chiamato Water Curupira è stato osservato distribuire attivamente il malware loader PikaBot come parte di varie campagne di spam nel 2023.
Quali sono i danni provocato dal loader malware PikaBot
“Gli operatori di PikaBot hanno condotto campagne di phishing, mirando alle vittime attraverso i suoi due componenti: un loader e un modulo principale, che consentivano l’accesso remoto non autorizzato e permettevano l’esecuzione di comandi arbitrari attraverso una connessione stabilita con il loro server di comando e controllo (C&C)“, ha dichiarato Trend Micro in un rapporto pubblicato oggi.
L’attività è iniziata nel primo trimestre del 2023 e è durata fino alla fine di giugno, prima di intensificarsi nuovamente a settembre; questa campagna si sovrappone anche a campagne precedenti che hanno utilizzato tattiche simili per distribuire QakBot, in particolare quelle orchestrare da ben due gruppi di criminali informatici, noti come TA571 e TA577.
Si ritiene che l’aumento del numero di campagne di phishing legate a PikaBot sia il risultato della rimozione di QakBot ad agosto, con DarkGate che emerge come un suo sostituto.
PikaBot è principalmente un loader, il ché significa che questo malware è progettato per lanciare un altro payload, incluso Cobalt Strike, un toolkit legittimo di post-exploitation che agisce tipicamente come precursore per la distribuzione di ransomware.
Le catene di attacco sfruttano una tecnica chiamata “email thread hijacking“, utilizzando thread email esistenti per ingannare i destinatari nell’aprire link o allegati dannosi, attivando efficacemente la sequenza di esecuzione del malware.
Gli allegati di archivi ZIP, che contengono file JavaScript o IMG, sono utilizzati come piattaforma di lancio per PikaBot; il malware, a sua volta, verifica la lingua del sistema e interrompe l’esecuzione se è in russo o ucraino.
Nel passo successivo, raccoglie dettagli sul sistema della vittima e li inoltra a un server C&C in formato JSON; le campagne di Water Curupira hanno lo scopo di distribuire Cobalt Strike, che porta successivamente alla distribuzione del ransomware Black Basta.
“il gruppo di ccriminali informatici ha condotto anche diverse campagne di spam DarkGate e un numero limitato di campagne IcedID nelle prime settimane del terzo trimestre del 2023, ma si è poi dedicato esclusivamente a PikaBot“, ha dichiarato Trend Micro.
Consigli sul come evitare o eventualmente togliersi questo malware
Per evitare e rimuovere il malware PikaBot e proteggere il tuo sistema, puoi seguire questi suggerimenti
Per evitare l’infezione
- Mantieni il software aggiornato: assicurati di avere le ultime patch di sicurezza e gli aggiornamenti software installati sul tuo sistema operativo, browser e altri software utilizzati.
- Sii cauto con gli allegati e i link: non aprire allegati o cliccare su link da email sospette o da mittenti sconosciuti, pertanto verifica sempre l’autenticità prima di agire.
- Usa una solida soluzione antivirus e antimalware: installa un buon programma antivirus e antimalware e mantienilo aggiornato regolarmente; da segnalare che Malwarebytes già nella versione gratuita ha la possibilità di controllare anche le cartelle compresse (come ZIP o RAR), e dato che questo malware si attiva anche all’interno degli archivi è più che perfetto.
- Educazione degli utenti: fornisci formazione agli utenti sulla sicurezza informatica, sensibilizzandoli su come riconoscere email phishing e comportamenti sospetti online.
- Firewall e filtri web: Configura un firewall e utilizza filtri web per bloccare l’accesso a siti web dannosi.
Per rimuovere l’infezione:
- Scansione antivirus completa: utilizza un software antivirus aggiornato (Malwarebytes, già menzionato) per eseguire una scansione completa del tuo sistema alla ricerca di malware e rimuovi eventuali minacce rilevate.
- Strumenti di rimozione malware specifici: alcune aziende di sicurezza offrono strumenti di rimozione specifici per particolari malware; controlla se Trend Micro o altre aziende forniscono uno strumento dedicato per PikaBot.
- Disconnessione da Internet: se sospetti un’infezione, disconnettiti immediatamente da Internet per impedire ulteriori danni e prevenire la comunicazione con il server C&C.
- Ripristina da un backup: se possibile, ripristina il tuo sistema da un backup pulito effettuato prima dell’infezione.
- Richiedi assistenza professionale: se non ti senti sicuro di gestire la situazione da solo, contatta un professionista della sicurezza informatica o l’assistenza tecnica del tuo provider antivirus per ottenere aiuto.
Ricorda che la prevenzione è fondamentale per evitare infezioni, pertanto mantieni le buone pratiche di sicurezza informatica e sii sempre vigile riguardo agli avvisi di sicurezza.
