# Pikabot Distribution February 2024 ## Descrição A campanha Pikabot Distribution February 2024 representou o retorno do [[pikabot|Pikabot]] após uma pausa de distribuição no final de 2023, com uma variante reformulada. A campanha distribuiu o Pikabot por meio de e-mails maliciosos contendo links incorporados ([[t1566-002-spearphishing-link|T1566.002]]) que redirecionavam para arquivos ZIP maliciosos hospedados em servidores comprometidos. A infecção exigia interação do usuário para extração e execução do arquivo ZIP - um mecanismo que contorna proteções automáticas de sandbox. O fluxo de execução utilizava hijacking de execução ([[t1574-hijack-execution-flow|T1574]]) e scripts JavaScript ([[t1059-007-javascript|T1059.007]]) e PowerShell ([[t1059-001-powershell|T1059.001]]) para deofuscação e execução do loader. A versão de fevereiro de 2024 do Pikabot apresentou mudanças arquiteturais significativas em relação à variante de 2023: menor complexidade de código, mecanismos de ofuscação simplificados e alterações no formato de string de configuração. A análise da Elastic Security identificou que o Pikabot estava se tornando o substituto preferido do QakBot - desmantelado pela Operation Duck Hunt em agosto de 2023 - como loader inicial para operações de ransomware, incluindo implantação de Cobalt Strike como payload de segundo estágio. O grupo distribuidor (Water Curupira, documentado em campanha separada [[water-curupira-pikabot-distribution|Water Curupira Pikabot Distribution]]) é associado a operações de ransomware Black Basta, tornando o Pikabot um componente crítico da cadeia de ataque de ransomware enterprise. ## Impacto A campanha utilizou o Pikabot como loader para implantação de Cobalt Strike em redes corporativas, estabelecendo acesso para operações de ransomware subsequentes. O Pikabot tornou-se um dos loaders mais ativos de 2024 após o desmantelamento do QakBot, preenchendo o vácuo deixado por esse ecossistema. ## Relevância LATAM/Brasil Campanhas de distribuição de malware via e-mail com links para ZIPs maliciosos são um vetor amplamente utilizado contra organizações brasileiras. O padrão de uso de Pikabot como precursor de ransomware enterprise é relevante para qualquer organização brasileira que tenha recebido e-mails com links para ZIPs em fevereiro de 2024. A cadeia Pikabot → Cobalt Strike → Ransomware Black Basta representa uma ameaça concreta para empresas de médio e grande porte no Brasil. ## Técnicas Utilizadas - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] ## Software Utilizado - [[pikabot|Pikabot]] --- --- *Fonte: [MITRE ATT&CK - C0036](https://attack.mitre.org/campaigns/C0036)* *Fonte: Elastic Security - "Pikabot Malware Distributed via Malspam Campaign" (Fevereiro 2024)*