Компания Trend Micro зафиксировала активное распространение вредоносного ПО PikaBot группировкой Water Curupira. Операции начались в первом квартале 2023 года и продолжались до конца июня, а затем возобновились в сентябре.
PikaBot, используемый в фишинговых кампаниях, состоит из двух компонентов: загрузчика и основного модуля. Такая структура позволяет осуществлять несанкционированный удалённый доступ и выполнять произвольные команды через соединение с сервером управления с меньшим риском обнаружения.
Деятельность группировки Water Curupira пересекается с предыдущими кампаниями, использующими аналогичные тактики для доставки QakBot, осуществляемыми группами TA571 и TA577. Повышение активности PikaBot связывают с ликвидацией QakBot в августе, а также с появлением вредоноса DarkGate.
PikaBot, в основном выполняющий функцию загрузчика, запускает другие вредоносные программы, включая инструмент для постэксплуатационных действий Cobalt Strike, часто используемый перед непосредственным развёртыванием программ-вымогателей.
Тактика распространения PikaBot до боли проста и знакома: хакеры интегрируют вредоносные вложения в электронную почту, а их скачивание и запуск приводит к заражению компьютера вредоносным ПО.
Примечательно, что перед запуском цепочки заражения загрузчик проверяет язык операционной системы Windows и прерывает выполнение, если обнаруживает русский или украинский языки. Это наводит на некоторые мысли о возможном происхождении группировки Water Curupira.
Если компьютер можно атаковать, PikaBot собирает подробную информацию о системе жертвы и отправляет её на сервер управления в формате JSON. Цель вредоносных кампаний Water Curupira — развёртывание Cobalt Strike, что часто ведёт к последующему запуску вымогательского ПО Black Basta.
Кроме того, Trend Micro отмечает проведение Water Curupira ряда кампаний с использованием DarkGate и небольшого количества кампаний IcedID в начале третьего квартала 2023 года, после чего группа полностью перешла на использование PikaBot.