Новый троян PikaBot похож на QakBot, но выполняет больше команд

Троян PikaBot, который впервые обнаружили в начале 2023 года, может выполнять большое количество команд. Исследователи сообщают о его сходстве с QakBot, которое включает идентичные методы распространения.

PikaBot может функционировать как бэкдор и состоит из двух основных компонентов: загрузчик и корневой модуль. Последний обеспечивает неавторизованный удаленный доступ к скомпрометированным системам. Троян также получает команды с сервера C2. Последние ранжируются от выполнения произвольного кода до распространения других вредоносных инструментов, включая Cobalt Strike.

Перед запуском PikaBot проверяет систему на наличие отладчиков и контрольных точек. Корневой модуль храниться в библиотеке изображений  PNG. Троян самопроизвольно прекращает работу, если языком системы оказывается грузинский, казахский, узбекский или таджикский.

Исследователи также видят сходство PikaBot с другим трояном Matanbuchus. Оба написаны на C/C++ и используют JSON, кодировку Base64 и криптографические методы сетевого общения.

В июне исследователи обнаружили два новых сервера C2, которые могут обмениваться данными с PikaBot. при этом троян пока находится на ранней стадии развития и не используется для массовых атак.