12-05-2025, 04:32 PM
Nombre: PikaBot
Categoría: Loader / Backdoor modular
Fecha de descubrimiento: Activo desde principios de 2023
Comportamiento (lo que hace y archivos que infecta):
PikaBot es un loader/backdoor modular para Windows, compuesto por:
- Un loader que llega al sistema (documentos maliciosos, spam, etc.).
- Un módulo principal (core) que ejecuta comandos y carga payloads desde el C2.
Capacidades:
- Inyección de código en procesos legítimos para evadir detección.
- Descarga y ejecución de payloads adicionales (stealers, RATs, ransomware).
- Ejecución de comandos remotos y enumeración del sistema.
Métodos de distribución:
- Campañas de spam masivo con adjuntos maliciosos y enlaces a archivos descargables.
- Documentos Office con macros maliciosas o explotación de vulnerabilidades.
- Tácticas similares a QakBot (correos de respuesta en hilos, señuelos corporativos, etc.).
A nivel de archivos:
- Crea binarios y DLL en %TEMP% y carpetas de usuario.
- Utiliza inyección en procesos legítimos, por lo que el código malicioso puede ejecutarse dentro de procesos de Windows o aplicaciones comunes.
Persistencia:
PikaBot suele:
- Establecer claves de autoejecución en el Registro.
- Usar tareas programadas para relanzarse en cada reinicio.
- Aprovechar el movimiento lateral dentro de la red para infectar más máquinas y mantener presencia.
Su objetivo principal es servir de “puente” para otros malware, por lo que una vez desplegado el payload final (p.ej., ransomware) la persistencia puede delegarse en ese malware.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como Pikabot:
Mitigación con GetOverX Shield v3.0.2.0:
Categoría: Loader / Backdoor modular
Fecha de descubrimiento: Activo desde principios de 2023
Comportamiento (lo que hace y archivos que infecta):
PikaBot es un loader/backdoor modular para Windows, compuesto por:
- Un loader que llega al sistema (documentos maliciosos, spam, etc.).
- Un módulo principal (core) que ejecuta comandos y carga payloads desde el C2.
Capacidades:
- Inyección de código en procesos legítimos para evadir detección.
- Descarga y ejecución de payloads adicionales (stealers, RATs, ransomware).
- Ejecución de comandos remotos y enumeración del sistema.
Métodos de distribución:
- Campañas de spam masivo con adjuntos maliciosos y enlaces a archivos descargables.
- Documentos Office con macros maliciosas o explotación de vulnerabilidades.
- Tácticas similares a QakBot (correos de respuesta en hilos, señuelos corporativos, etc.).
A nivel de archivos:
- Crea binarios y DLL en %TEMP% y carpetas de usuario.
- Utiliza inyección en procesos legítimos, por lo que el código malicioso puede ejecutarse dentro de procesos de Windows o aplicaciones comunes.
Persistencia:
PikaBot suele:
- Establecer claves de autoejecución en el Registro.
- Usar tareas programadas para relanzarse en cada reinicio.
- Aprovechar el movimiento lateral dentro de la red para infectar más máquinas y mantener presencia.
Su objetivo principal es servir de “puente” para otros malware, por lo que una vez desplegado el payload final (p.ej., ransomware) la persistencia puede delegarse en ese malware.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como Pikabot:
Code:
e610bd62897abb63387e135b07aa906f860c88c7fafd8bb63836bf1baa2669afMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
Escanear todas las unidades (incluyendo unidades de red mapeadas) para detectar el loader y el core de PikaBot, así como los payloads secundarios que haya desplegado.
- Firewall:
- Bloquear conexiones salientes hacia dominios/IPs utilizados por PikaBot como C2.
- Aplicar políticas estrictas para limitar comunicaciones salientes desde equipos estándar a solo destinos corporativos conocidos.
- HIPS/EDR:
Reglas recomendadas:
- Detectar inyección de código en procesos legítimos y ejecución de módulos inusuales.
- Monitorizar la creación de nuevos procesos iniciados por documentos Office, scripts o procesos poco habituales para un usuario normal.
- Detectar carga de DLL/EXE en %TEMP% seguida de tráfico a dominios poco reputados.
Configurar Kill/Block automático más logging extendido.
- Sandbox:
Usar la Sandbox para analizar:
- Adjuntos de correo (DOCX, XLSX, ZIP, etc.).
- “Actualizadores” o instaladores de origen dudoso.
Observar si derivan en la descarga de un módulo que inyecta código y se conecta a C2.
- Medidas posteriores al incidente:
- Analizar el entorno para identificar payloads finales (stealers, RAT, ransomware) y erradicarlos.
- Revisar logs de red y de endpoints para detectar movimiento lateral.
- Reforzar filtrado de correo y formación a usuarios frente a adjuntos sospechosos.