# Pikabot > Tipo: **loader / backdoor modular** - S1145 - [MITRE ATT&CK](https://attack.mitre.org/software/S1145) > [!warning] Successor Funcional do QakBot > Pikabot surgiu em janeiro de 2023 e rapidamente se tornou o loader preferido do [[g1037-ta577|TA577]] (Water Curupira), o mesmo grupo que historicamente operou o QakBot. As semelhanças funcionais entre os dois - estrutura de módulos, padroes de C2, vetor de email - sugerem fortemente que o Pikabot foi desenvolvido ou adquirido pelos mesmos operadores como substituto pos-takedown do QakBot em agosto de 2023. ## Visão Geral [[pikabot|Pikabot]] e um backdoor modular e loader ativo desde o inicio de 2023, distribuido primariamente pelo grupo [[g1037-ta577|TA577]] (rastreado pela Trend Micro como "Water Curupira") em campanhas de malspam em larga escala. O malware se destaca pelo uso extensivo de múltiplas camadas de ofuscacao e anti-análise: usa **steganografia** para ocultar payload em imagens, **armazenamento fileless** no registro do Windows, **reflective code loading** para execução sem escrita em disco, e técnicas robustas de anti-debugging. A relacao com o [[s0650-qakbot|QakBot]] e central na compreensao do Pikabot. O [[g1037-ta577|TA577]] operou o QakBot por anos antes do takedown do FBI em agosto de 2023 (Operação Duck Hunt). Poucos meses após o takedown, o Pikabot emergiu com funcionalidades quase identicas, fortemente sugerindo continuidade operacional. Em janeiro de 2024, uma versao simplificada e refatorada surgiu, indicando desenvolvimento ativo. O Pikabot e frequentemente usado como dropper de primeiro estagio para ferramentas de pos-exploração como [[s0154-cobalt-strike|Cobalt Strike]], ransomware do grupo [[black-basta|Black Basta]], e outros stealers. Sua capacidade de executar código arbitrario e estabelecer acesso persistente o torna um elo critico em cadeias de ataque de alto impacto. **Plataformas:** Windows ## Como Funciona O Pikabot implementa uma arquitetura de dois componentes: **loader** (injetor) e **core** (módulo principal), com execução em múltiplos estagios: 1. **Entrega via email:** Malspam com thread hijacking de emails legitimos para aumentar credibilidade; URLs maliciosas ou anexos protegidos por senha ([[t1059-003-windows-command-shell|T1059.003]]) 2. **Anti-análise:** Verificacoes extensas de ambiente - conta de processos, resolução de tela, presenca de debugger ([[t1622-debugger-evasion|T1622]]) - o malware para silenciosamente se detectar análise 3. **Steganografia:** Payload principal ocultado dentro de imagem PNG via steganografia ([[t1027-003-steganography|T1027.003]]) para evadir análise de trafego 4. **Armazenamento fileless:** Core do malware armazenado no registro do Windows ([[t1027-011-fileless-storage|T1027.011]]) - nunca toca o disco como arquivo independente 5. **Thread Hijacking:** Injeta código malicioso em thread de processo legitimo do Windows ([[t1055-003-thread-execution-hijacking|T1055.003]]) 6. **Reflective loading:** Carrega módulo DLL em memoria sem escrever no disco ([[t1620-reflective-code-loading|T1620]]) 7. **Reconhecimento:** Enumera configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]), contas locais ([[t1087-001-local-account|T1087.001]]), trusts de dominio ([[t1482-domain-trust-discovery|T1482]]) 8. **C2 encriptado:** Comúnicação com servidor de controle em portas nao-padrao ([[t1571-non-standard-port|T1571]]) usando criptografia simetrica ([[t1573-001-symmetric-cryptography|T1573.001]]) 9. **Payload secundario:** Recebe e executa Cobalt Strike, ransomware ou outros implantes via canal C2 encriptado ```mermaid graph TB A["Email Thread Hijacking<br/>Credibilidade aumentada"] --> B["URL / Anexo malicioso<br/>Protegido por senha"] B --> C["Anti-análise<br/>Contagem de processos / Tela"] C --> D["Loader component<br/>Stage 1"] D --> E["Steganografia<br/>Payload em imagem PNG"] E --> F["Fileless Storage<br/>Core no registro Windows"] F --> G["Thread Hijacking<br/>Injeta em processo legitimo"] G --> H["Reflective Loading<br/>DLL em memoria sem disco"] H --> I["Reconhecimento<br/>T1016 + T1087 + T1482"] I --> J["C2 encriptado<br/>Porta nao-padrao"] J --> K["Payload secundario<br/>Cobalt Strike / Black Basta"] ``` ## Timeline de Eventos ```mermaid timeline title Pikabot - Surgimento e Evolução 2023-ján : Primeiras amostras detectadas : Distribuição inicial pelo TA577 2023-ago : Takedown do QakBot - Operação Duck Hunt : Pikabot assume papel de loader principal do TA577 2023-set : Campanha de alto volume detectada pela Elastic : Thread hijacking de emails como vetor principal 2023-dez : Análise profunda da Trend Micro Water Curupira : Confirmada relacao com operadores do QakBot 2024-ján : Nova versao simplificada e refatorada : Indicativo de desenvolvimento ativo continuo 2024 : Uso em campanhas com Black Basta ransomware : Prevalencia como loader de alto perfil ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1016-system-network-configuration-discovery\|T1016]] | Enumera interfaces de rede, DNS, proxies | | [[t1059-003-windows-command-shell\|T1059.003]] | Executa comandos via cmd.exe | | [[t1482-domain-trust-discovery\|T1482]] | Mapeia trusts de dominio Active Directory | | [[t1055-003-thread-execution-hijacking\|T1055.003]] | Injeta código em thread de processo legitimo | | [[t1622-debugger-evasion\|T1622]] | Detecta debugger e sandbox por múltiplos criterios | | [[t1571-non-standard-port\|T1571]] | C2 em portas nao-padrao para evasão de proxy | | [[t1573-001-symmetric-cryptography\|T1573.001]] | Criptografia simetrica no canal de comunicação C2 | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados pelo canal C2 encriptado | | [[t1087-001-local-account\|T1087.001]] | Enumera contas locais do sistema comprometido | | [[t1106-native-api\|T1106]] | Chamadas diretas a API nativa do Windows | | [[t1082-system-information-discovery\|T1082]] | Coleta informações do sistema operacional e hardware | | [[t1027-011-fileless-storage\|T1027.011]] | Armazena core do malware no registro Windows | | [[t1027-003-steganography\|T1027.003]] | Payload oculto em imagem PNG | | [[t1620-reflective-code-loading\|T1620]] | DLL loading em memoria sem escrever em disco | | [[t1132-001-standard-encoding\|T1132.001]] | Dados C2 codificados em Base64 | ## Grupos que Usam - [[g1037-ta577|TA577]] (Water Curupira) - grupo cibercriminoso responsavel pelas principais campanhas de distribuição do Pikabot via malspam de alto volume ## Impacto no Brasil e LATAM O [[g1037-ta577|TA577]] opera globalmente via email malicioso como vetor de acesso inicial, uma ameaça ubiqua para organizacoes brasileiras. O uso de thread hijacking - roubo de encadeamentos de emails legitimos para parecer uma continuacao de conversa real - torna os emails do Pikabot particularmente difíceis de detectar por usuarios finais, mesmo treinados em conscientizacao de segurança. O fato de o Pikabot ser usado como loader para ransomware do [[black-basta|Black Basta]] e outras familias de alto impacto e diretamente relevante para o Brasil, que registra um dos maiores volumes de ataques de ransomware da América Latina. Uma campanha de phishing que resulte em comprometimento pelo Pikabot deve ser tratada como precursor de ransomware, exigindo resposta imediata de contenção e isolamento da rede afetada. > [!danger] Thread Hijacking e Altamente Eficaz > O Pikabot usa emails de conversas reais roubadas para parecer uma resposta legitima. Usuarios treinados sao vulneraveis a este vetor - implemente protecoes técnicas (sandbox de email) alem do treinamento humano. ## Detecção - Monitorar thread injection em processos legitimos por loaders nao-autorizados ([[t1055-003-thread-execution-hijacking|T1055.003]]) - Detectar reflective DLL loading - módulos em memoria sem correspondencia em arquivo em disco ([[t1620-reflective-code-loading|T1620]]) - Alertar para armazenamento de dados binarios no registro por processos de documento ([[t1027-011-fileless-storage|T1027.011]]) - Implementar sandboxing de e-mails com análise de URLs e inspecao de documentos protegidos por senha - Monitorar conexoes de saida em portas nao-padrao (>1024) por processos nao-browser - Detectar `WMI` ou `cmd.exe` sendo chamados por processos Office como sinal de infecção inicial ## Referências - [MITRE ATT&CK - S1145](https://attack.mitre.org/software/S1145) - [Trend Micro - Water Curupira/TA577 Pikabot Analysis](https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html) - [Elastic Security Labs - Pikabot Deep Dive](https://www.elastic.co/security-labs/pikabot-i-choose-you) - [Secureworks - Pikabot Loader Profile](https://www.secureworks.com/blog/pikabot-malware-emerges-as-qakbot-replacement) - [ANY.RUN - Pikabot Malware Analysis](https://any.run/malware-trends/pikabot)