En 2023, le paysage de la cybersécurité a été marqué par l’apparition de Pikabot, un cheval de Troie sophistiqué qui s’est distingué par sa capacité à infecter rapidement les systèmes et à échapper aux solutions de sécurité traditionnelles. En 2024, après une brève pause, Pikabot est devenu plus résilient et dangereux, avec des méthodes d’infection plus sophistiquées et des cibles diversifiées. Ce malware, composé d’un chargeur et d’un module central, permet aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant ainsi des activités malveillantes telles que le minage de crypto-monnaie, l’installation de logiciels espions et de rançongiciels, le vol de données et d’identifiants, et le contrôle à distance des systèmes compromis.
Méthodes de distribution du logiciel malveillant Pikabot en 2024
Pikabot, le « fameux » chargeur de logiciels malveillants utilise une variété de méthodes de distribution, voici les principales :
Campagnes de spam et de phishing
Les campagnes de spam et de phishing restent la méthode de distribution la plus courante pour Pikabot. Ces campagnes sont souvent géographiquement ciblées pour maximiser l’efficacité des attaques. Les courriels contiennent généralement des liens vers des partages de fichiers Server Message Block (SMB) ou des pièces jointes malveillantes telles que des fichiers zip avec des scripts ou des documents malveillants. Une fois ouverts, ces fichiers déclenchent l’exécution du malware sur le système de la victime
Les attaquants personnalisent les emails pour qu’ils apparaissent légitimes, souvent en se faisant passer pour des entités de confiance comme des fournisseurs ou des partenaires commerciaux. Les emails des destinataires victimes sont souvent issus de discussions volées sur le Dark Web.
Malvertising
Le malvertising (contraction de « malicious advertising »), ou publicité malveillante, est une autre méthode de distribution de Pikabot. Cette technique implique l’injection de publicités malveillantes dans des réseaux publicitaires légitimes (par exemple, Google Ads). Les utilisateurs qui cliquent sur ces publicités sont redirigés vers des sites web compromis qui hébergent des exploit kits ou des téléchargeurs de malware.
En 2023, une campagne de malvertising notable a ciblé les utilisateurs d’AnyDesk, un logiciel populaire de bureau à distance. Les publicités malveillantes apparaissaient en haut des résultats de recherche, imitant le site officiel d’AnyDesk. Les utilisateurs qui cliquaient sur ces annonces étaient redirigés vers un site frauduleux qui proposait une version factice du logiciel. Une fois téléchargé, ce faux AnyDesk contenait des logiciels malveillants capables de voler des informations personnelles, des identifiants de connexion et d’accéder à distance aux ordinateurs des victimes.
Fichiers téléchargeables diversifiés
De manière générale, Pikabot utilise une large gamme de fichiers téléchargeables pour distribuer ses charges utiles. Et oui, en utilisant différents types de fichiers, les attaquants augmentent leurs chances de succès et contournent diverses mesures de sécurité !
- Fichiers HTML et JavaScript
Les campagnes de PikaBot utilisent des fichiers HTML pour rediriger les utilisateurs vers des téléchargements de fichiers texte qui contiennent le malware. Les fichiers JavaScript, souvent inclus dans des archives zip, exécutent des commandes système pour télécharger et exécuter la charge utile.
- Documents Excel :
Une méthode novatrice de distribution de Pikabot implique des fichiers Excel contenant des macros ou des boutons intégrés qui incitent les utilisateurs à cliquer, déclenchant ainsi l’infection. Ces fichiers exploitent la confiance des utilisateurs dans les documents de bureau pour propager le malware.
- Fichiers JAR et DLL :
Les fichiers JAR et DLL sont également utilisés pour distribuer Pikabot. Ces fichiers, souvent compressés dans des archives zip, sont exécutés par des commandes système pour déployer le malware sur le système cible.
Techniques d’évasion avancées de Pikabot
Pikabot est connu pour sa capacité à contourner efficacement les systèmes de sécurité traditionnels. Ces techniques de contournement sont sophistiquées et diverses, ce qui rend Pikabot particulièrement résilient face aux efforts de détection et de mitigation. Voici 6 techniques de contournement de la sécurité utilisées par Pikabot :
1. L’obfuscation
Pikabot utilise l’obfuscation pour rendre son code source difficile à comprendre et à analyser, ce qui complique la tâche des analystes SOC. Voici comment Pikabot applique cette technique :
- Brouillage de code : Pikabot rend son code source difficile à comprendre en remplaçant les noms de fonctions et de variables par des chaînes aléatoires ou codées, compliquant l’analyse par les spécialistes.Chiffrement de chaînes.
- Chiffrement de chaînes : Les chaînes de caractères importantes, comme les adresses URL des serveurs de commande et de contrôle (C&C) et les messages de log, sont chiffrées et ne sont déchiffrées que lorsque nécessaire, empêchant leur identification par les outils d’analyse.
- Injection de code inutile : Pikabot ajoute des segments de code inutiles ou des instructions redondantes, comme des boucles infinies ou des appels de fonctions non pertinents, pour compliquer la décompilation et le reverse engineering.
2. Polymorphisme
- Génération de variantes uniques
À chaque installation ou exécution, Pikabot génère une nouvelle version de lui-même. Son moteur polymorphique modifie les segments de code critiques, comme les routines de chiffrement ou de connexion, créant ainsi des signatures uniques à chaque instance.
- Transformation du code à la volée
Pikabot est capable de transformer son propre code en temps réel. Par exemple, il peut réorganiser l’ordre des instructions, changer les chemins d’exécution ou remplacer des algorithmes par des équivalents fonctionnels différents, ce qui rend sa signature difficile à repérer pour les systèmes de détection basés sur les signatures.
- Mutation de code
Le bot utilise des algorithmes de mutation qui réécrivent des parties de son code à chaque exécution. Cela inclut des techniques telles que la réorganisation des blocs de code, l’inversion de conditions ou de boucles, et l’utilisation de différentes méthodes pour obtenir le même résultat final, augmentant ainsi la complexité de la détection.
3. Détection et contournement des environnements sandbox
Les environnements sandbox sont couramment utilisés pour analyser les comportements malveillants en toute sécurité. Pikabot intègre des mécanismes sophistiqués pour détecter lorsqu’il est exécuté dans un tel environnement. Il vérifie par exemple la présence de logiciels de virtualisation, des délais d’exécution anormalement longs, ou l’absence d’activités utilisateur réelles. Une fois détecté, le bot modifie son comportement ou reste inactif, évitant ainsi la détection.
4. Utilisation de canaux de communication chiffrés
Pour échapper à la surveillance, Pikabot utilise des canaux de communication chiffrés pour transmettre des données entre les machines compromises et les serveurs de commande et de contrôle (C&C). Ces communications chiffrées rendent le trafic réseau suspect beaucoup plus difficile à identifier et à analyser.
5. Techniques de persistance avancées
Pikabot déploie des techniques avancées de persistance pour maintenir sa présence sur les systèmes infectés. Cela inclut l’utilisation de rootkits pour s’ancrer profondément dans le système d’exploitation, modifiant des fichiers système et des processus critiques pour survivre aux redémarrages et aux nettoyages superficiels.
6. Mouvements latéraux et élévation des privilèges
Une fois à l’intérieur d’un réseau, Pikabot utilise des techniques sophistiquées de mouvements latéraux pour infecter d’autres systèmes. Il exploite des vulnérabilités non corrigées, utilise des techniques de « pass-the-hash » et d’autres méthodes pour élever ses privilèges, augmentant ainsi son contrôle et sa capacité à se propager.
Références MITRE ATT&CK
Les références MITRE ATT&CK jouent un rôle crucial en fournissant des informations détaillées sur les diverses techniques utilisées par les cybercriminels. En intégrant ces références, les experts Cyber sont capables de mieux identifier les comportements suspects et de mettre en place des mesures de défense adaptées.
| Technique | Tactic |
| Collection | Archive Collected Data (T1560) |
| Input Capture (T1056) | |
| Command and Control | Encrypted Channel (T1573) |
| Non-Standard Port (T1571) | |
| Credential Access | Input Capture (T1056) |
| Defense Evasion | Hijack Execution Flow: DLL Side-Loading (T1574.002) |
| Impair Defenses: Disable or Modify Tools (T1574.002) | |
| Impair Defenses: File Deletion (T1070.004) | |
| Masquerading (T1036) | |
| Modify Registry (T1112) | |
| Native API (T1106) | |
| Obfuscated Files or Information (T1027) | |
| Process Hollowing (T1055.012) | |
| System Binary Proxy Execution: Regsvr32 (T1218.010) | |
| System Binary Proxy Execution: Rundll32 (T1218.011) | |
| Virtualization/Sandbox Evasion (T1497) | |
| Discovery | File and Directory Discovery (T1083) |
| Process Discovery (T1057) | |
| Software Discovery: Security Software Discovery (T1518) | |
| System Information Discovery (T1082) | |
| System Owner/User Discovery (T1033) | |
| Virtualization/Sandbox Evasion (T1497) | |
| Evasion | Masquerading (T1036) |
| Execution | Native API (T1106) |
| System Binary Proxy Execution: Regsvr32 (T1218.010) | |
| System Binary Proxy Execution: Rundll32 (T1218.011) | |
| Shared Modules (T1129) | |
| Persistence | Hijack Execution Flow: DLL Side-Loading (T1574.002) |
| Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) |
