PikaBot, un noto malware loader e backdoor, ha subito significative modifiche al suo codice, risultando in una semplificazione dell’architettura e dei metodi di comunicazione. Sebbene sembri essere in una nuova fase di sviluppo e test, gli sviluppatori di Zscaler hanno ridotto la complessità del codice eliminando tecniche avanzate di offuscamento e modificando le comunicazioni di rete.
Cambiamenti nel Malware
- Semplificazione dell’Offuscamento: La nuova versione di PikaBot presenta algoritmi di cifratura più semplici e inserisce codice inutile tra le istruzioni valide per resistere all’analisi.
- Configurazione in Plaintext: La configurazione completa del bot, simile a quella di QakBot, è ora memorizzata in un unico blocco di memoria in plaintext anziché cifrare ogni elemento e decodificarli durante l’esecuzione.
- Comunicazioni di Rete: Sono state apportate modifiche agli ID dei comandi e all’algoritmo di cifratura utilizzato per proteggere il traffico verso il server C2.
Contesto e Implicazioni
PikaBot è noto per eseguire comandi e iniettare payload da un server C2 e consentire agli aggressori di controllare l’host infetto. La sua capacità di interrompere l’esecuzione se la lingua del sistema è russa o ucraina indica che gli operatori potrebbero essere basati in Russia o in Ucraina.
Sviluppi e Preoccupazioni
Nonostante la sua recente inattività, PikaBot continua a rappresentare una significativa minaccia informatica e si trova in costante sviluppo. La decisione degli sviluppatori di ridurre la complessità del codice di PikaBot rimuovendo caratteristiche avanzate di offuscamento riflette un nuovo approccio nel panorama delle minacce informatiche.
La trasformazione di PikaBot sottolinea la continua evoluzione e adattabilità dei malware nel tempo, richiedendo una vigilanza costante da parte delle comunità di sicurezza informatica per contrastare tali minacce in evoluzione.