Maliciel : à la découverte de Pikabot
Apparu début 2023, Pikabot est un logiciel malveillant associé à la nébuleuse Conti, et en particulier à Black Basta. Ses modes de distribution ont varié au fil du temps, du malvertising au « malspam ».
C’est début février 2023 que Pikabot est documenté pour la première fois. Ce logiciel malveillant est alors identifié à l’occasion de campagnes de distribution rappelant Qakbot.
Pikabot est scindé en deux parties : un loader et un composant principal. Le loader permet, comme son nom l’indique, de charger d’autres maliciels, tandis que le composant principal embarque les fonctionnalités principales, à commencer par celles qui assurent la communication avec les serveurs de commande et de contrôle (C2).
Pikabot met à profit de nombreuses capacités de furtivité, multipliant les fonctions visant à rendre difficile sa rétro-ingénierie, voire sa simple exécution – et analyse – en machine virtuelle. Les premiers examens faisaient déjà état de plus d’une vingtaine de fonctions dédiées à cette furtivité. Le composant principal est lui-même encodé dans des images PNG.
Comme d’autres avant lui, rappelant notamment certaines habitudes des cybercriminels spécialistes du ransomware, Pikabot s’interdit de compromettre des systèmes dont les réglages suggèrent un lien avec les pays proches de la Russie.
Rapidement, les liens avec un autre maliciel comparable sont mis en lumière : Matanbuchus. Sophos explique ainsi que « tous deux sont écrits en C/C++, utilisent une séparation chargeur/composant de base, emploient JSON+Base64+crypto pour le trafic et utilisent largement des chaînes codées en dur. Ces similitudes laissent entrevoir un lien potentiel entre les deux familles de logiciels malveillants ».
Comment est-il distribué ?
Les premières observations de Pikabot ont été faites à partir de campagnes de malspam : des pourriels piégés. En décembre dernier, Malwarebytes revient sur les premières découvertes : « PikaBot a été identifié pour la première fois comme un possible Matanbuchus provenant d’une campagne de malspam […]. Le nom PikaBot a ensuite été donné et attribué à TA577, un acteur malveillant que Proofpoint a vu impliqué dans la distribution de charges utiles telles que QakBot, IcedID, SystemBC ainsi que Cobalt Strike. Plus important encore, TA577 a été associé à la distribution de ransomwares ».
Et d’expliquer : « la chaîne de distribution typique de PikaBot commence généralement par un courriel (fil de discussion détourné) contenant un lien vers un site web externe. Les utilisateurs sont incités à télécharger une archive zip contenant un JavaScript malveillant ».
Mais un autre moyen de distribution de Pikabot a également été observé : le malvertising, à savoir de fausses publicités malveillantes. Dans le cas de Pikabot, elles usurpaient notamment l’outil d’accès distant AnyDesk.
Tout récemment, Trend Micro a relevé « une augmentation du nombre de campagnes d’hameçonnage liées à Pikabot […] au cours du dernier trimestre 2023, coïncidant avec le démantèlement de Qakbot ». À la clé ? Des cyberattaques avec le ransomware Black Basta. Un groupe lié à feu la PME du cybercrime Conti.