Группа вторжения Water Curupira, известная по использованию вымогательского ПО Black Basta, применяла Pikabot, вредоносную программу-загрузчик, похожую на Qakbot, в спам-кампаниях на протяжении 2023 года.
Pikabot - это многоступенчатая вредоносная программа с загрузчиком и основным модулем в одном файле, а также расшифрованным шелл-кодом, который расшифровывает другой DLL-файл из его ресурсов. Вредоносная программа получает первоначальный доступ к компьютеру жертвы через спам-письма, содержащие архив или PDF-вложение. В этих письмах используется метод "захвата потока" (thread-hijacking), при котором злоумышленники используют существующие потоки электронной почты и создают письма, которые выглядят так, как будто они предназначены для этого потока, чтобы обмануть получателей и заставить их поверить в то, что они являются легитимными.
Indicators of Compromise
IPv4 Port Combinations
- 137.220.55.190:2223
- 139.180.216.25:2967
- 15.235.202.109:2226
- 15.235.44.231:5938
- 15.235.45.155:2221
- 15.235.47.206:13783
- 15.235.47.80:23399
- 154.221.30.136:13724
- 154.61.75.156:2078
- 154.92.19.139:2222
- 158.247.253.155:2225
- 172.233.156.100:13721
- 188.26.127.4:13785
- 210.243.8.247:23399
- 51.195.232.97:13782
- 51.68.147.114:2083
- 51.79.143.215:13783
- 64.176.5.228:13783
- 64.176.67.194:2967
- 65.20.78.68:13721
- 70.34.209.101:13720
Domains
- airbusco.net
- allcompanycenter.com
- animalsfast.net
- audsystemecll.net
- auuditoe.com
- blockcentersys.net
- blocknowtech.net
- bluenetworking.net
- brendonline.com
- building4business.net
- businesforhome.com
- buyadvisershop.net
- buzzybeet.net
- caspercan.com
- clearsystemwo.net
- cloudwebstart.net
- cloudworldst.net
- conectmeto.net
- conitreid.com
- constrtionfirst.com
- erihudeg.com
- garbagemoval.com
- gartenlofti.com
- gertefin.com
- getfnewsolutions.com
- getfnewssolutions.com
- gift4animals.com
- investmendvisor.net
- investmentrealtyhp.net
- investsystemus.net
- ionoslaba.com
- jessvisser.com
- karmafisker.com
- kolinileas.com
- lindacolor.com
- magementfair.com
- maluisepaul.com
- masterunis.net
- masterunix.net
- monitorsystem.net
- monitor-websystem.net
- mynewbee.net
- mytrailinvest.net
- neobeelab.net
- nutiensel.com
- prettyanimals.net
- realeinvestment.net
- reelsysmoona.net
- reganter.com
- ruggioil.com
- sandelias.com
- schumacherbar.com
- seohomee.com
- septcntr.com
- settingfir.com
- softradar.net
- startupbizaud.net
- startupbusiness24.net
- startuptechnologyw.net
- steamteamdev.net
- stockinvestlab.net
- taskthebox.net
- trailgroupl.net
- treeauwin.net
- unitedfrom.com
- unougn.com
- wardeli.com
- welausystem.net
- wellsystemte.net
- withclier.com
URLs
- http://188.34.192.184/76DKN6/Wheez
- https://brouweres.com:443/vvs49/0.15313287608559223.dat
- https://brouweres.com:443/vvs49/0.6515179055030298.dat
- https://brouweres.com:443/vvs49/0.8450027286577588.dat
- https://brouweres.com:443/vvs49/0.9900618798908114.dat
- https://lsn.edu.dz/pqis/?aWDzZBatBsyv
- https://sindicaturadetecate.gob.mx/pe/?IDbHJCMofpEIzDQjrcwNcDqHoiQRnSKZQcA
MD5
- 222b1793938f507877ee194ba0acd86b
- 22be88cf8f57d9412eaa40c541f08eb2
- 2430e3a9d5c97d0184f8af59abda4abb
- 4deb812eeae3c499530e1bd4f0e108ba
- 5be9d3aa133d23c439e5181da7450323
- 7d6a6233a8792ea216a529836c13e923
- c28f33fee92fd7396fdb5792dea90365
- de2cab21e6342cf20535b0734d5ca3c0
SHA256
- 07279c93f0532a4f5bc4617ab3cb30b7c336f71f587e934a5a0e35ce88fbf632
- 1a12028a0e0ecc32160e5372a45d95e3045421906f2c807b7c4c8f4a85d47469
- 1d365a8a2e72a81a6ffbc6c0c32b28e580872e57df184c270b4fa47ac8b8bf2b
- 1dd66462bd11d65247fff82ae81358c9e1b5e1024a953478b8a5de8f5fc5443a
- 29a12bf2f2ff68027ae042a24f1c1285c6bc4b7a495d3d2a8f565ef67141eca8
- 2c49ff53d0cf0ea36f34148598b8eacca12a1a654bfc09c4e00d6b60a8ad57fe
- 2dad1218d4950ba3a84cfce17af2d8d4ece92f623338d49b357ec9d973ecf8a8
- 33e03a536f869dee3ffa0b1bc8c885f77c50d0a7974b6e9b4041a5a254255c34
- 3b13380f7dfd615707887f3e8904f432aacdbb111822dd596a44366cb5526624
- 46e0fe3a942bb1f9aa9cd1b460ca7efa9acddb3c5b2d2bc3b42a87d8463f1c66
- 4c267d4f7155d7f0686d1ac2ea861eaa926fd41a9d71e8f6952caf24492b376b
- 6c13985e067cfad583bb1f5751821e649a61a41171a5f95ee9dfd254c04f71a8
- 6e18eb1884d2a1a20a0d6a4dcdaf1b7ab342271b2de0d0327848f37eb45e785e
- 6f9b2fdac415c7eb7fcc31c5ff9aac7e6347ddf4747985b7bac4f76a6f9da193
- 7094f89bf955dfbdcc4de8943af2328aa7475c2fb6af305c76a6df73aff8b1c3
- 7808be7f2b92c775f6ef047ffc857d8731e75bf486a45fec1c4d199b43c5a6c2
- 79b1ac4dc5cae6d03548c2ab570e98f9cfb7e4da24480ce3d513b1abdd13bf21
- 7e85b9d1d09301d8b3f48df44159347d89cb3c798d0436b5e9b060df4072b8c7
- 8045ea8720b66291e3c00f6fd1925de11241410421851b7cabe4a707875a1004
- 8514b9d2fe185989d996a2669788910405af5e8fd7102ab3decdd4d727af35df
- 980e2dccc3b83bab32b13f82091f37a2ffcf302c7fb7e87532c7c618f68c0753
- b436380d62babc42fa6b3adc592e1b6b0bd05c5cb1b0c08aa5c55eae738729e7
- ea63ac688aec3ab8920d83617f214922c16aedee341edbe3a18469179555fb21
- ed4bba5e886871527fa56beb280f222ef0fde97686db00a74ee02c1a44a0094d
- eead7f5b6f1282ad988238cc8c39292fa99ea416f7793038a20e5caabe93112a
- fbd63777f81cebd7a9f2f1c7f2a8982499fe4d18b9f4aa4e7ed589ceefac47de