Atuantes da Ameaça QakBot Ainda em Ação, Usando Ransom Knight e Remcos RAT nos Últimos Ataques
6 de Outubro de 2023

Apesar da interrupção em sua infraestrutura, os atores de ameaças por trás do malware QakBot têm sido associados a uma campanha de phishing em andamento desde o início de agosto de 2023 que levou à entrega do ransomware Ransom Knight (também conhecido como Ciclope) e do RAT Remcos.

Isso indica que "a operação policial pode não ter afetado a infraestrutura de entrega de spam dos operadores do QakBot, mas apenas seus servidores de comando e controle (C2)", disse o pesquisador da Cisco Talos, Guilherme Venere, em um novo relatório publicado hoje.

A atividade tem sido atribuída com confiança moderada pela empresa de segurança cibernética aos afiliados do QakBot.

Não há evidências até o momento de que os atores de ameaças tenham retomado a distribuição do carregador de malware em si após a desativação da infraestrutura.

O QakBot, também chamado de QBot e Pinkslipbot, teve origem como um trojan bancário baseado em Windows em 2007 e subsequentemente desenvolveu capacidades para entregar cargas úteis adicionais, incluindo ransomware.

Em agosto de 2023, a notória operação de malware foi atingida como parte de uma operação chamada Duck Hunt.

A atividade mais recente, que começou pouco antes da desativação, começa com um arquivo LNK malicioso provavelmente distribuído por emails de phishing que, quando lançado, detona a infecção e, finalmente, implanta o ransomware Ransom Knight, uma nova versão do esquema de ransomware como serviço (RaaS) do Ciclope.

Os arquivos ZIP contendo os arquivos LNK também foram observados incorporando arquivos de complemento do Excel (.XLL) para propagar o RAT Remcos, que facilita o acesso persistente por backdoor aos terminais.

Alguns dos nomes de arquivos usados na campanha estão escritos em italiano, o que sugere que os atacantes estão mirando usuários nessa região.

"Embora não tenhamos visto os atores de ameaças distribuindo o QakBot após a desativação da infraestrutura, avaliamos que o malware provavelmente continuará a representar uma ameaça significativa no futuro", disse Venere.

"Dado que os operadores permanecem ativos, eles podem optar por reconstruir a infraestrutura do QakBot para retomar totalmente sua atividade anterior à desativação."

A Cisco Talos disse ao The Hacker News que as cadeias de ataque também estão sendo usadas para entregar outros malwares como DarkGate, MetaStealer e RedLine Stealer.

"Identificar o verdadeiro escopo é difícil, mas já vimos que a rede de distribuição do QakBot é altamente eficaz e tem a capacidade de implementar campanhas em larga escala", disse Venere à publicação.

"Observamos e-mails de phishing distribuindo esses malwares para vítimas italianas, alemãs e inglesas, o que mostra que a campanha é generalizada.”

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...