# Water Curupira Pikabot Distribution ## Descrição O [[pikabot|Pikabot]] foi distribuído na campanha Water Curupira Pikabot Distribution ao longo de 2023 por uma entidade associada à implantação do ransomware BlackBasta via anexos de e-mail. Essa atividade ocorreu na sequência do desmantelamento do QakBot, apresentando diversas sobreposições técnicas e similaridades com ele, o que indica uma possível conexão. A atividade identificada resultou na implantação de ferramentas como o Cobalt Strike, coincidindo com campanhas que distribuíam o [[darkgaté|DarkGaté]] e o [[s0483-icedid|IcedID]] como etapa anterior à implantação de ransomware. ## Técnicas Utilizadas - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1204-user-execution|T1204 - User Execution]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1589-002-email-addresses|T1589.002 - Email Addresses]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] ## Software Utilizado - [[pikabot|Pikabot]] - [[darkgaté|DarkGaté]] - [[s0483-icedid|IcedID]] --- *Fonte: [MITRE ATT&CK - C0037](https://attack.mitre.org/campaigns/C0037)*