Apesar da interrupção em sua infraestrutura, os atores de ameaças por trás do malware QakBot têm sido associados a uma campanha de phishing em andamento desde o início de agosto de 2023 que levou à entrega do ransomware Ransom Knight (também conhecido como Ciclope) e do RAT Remcos.
Isso indica que "a operação policial pode não ter afetado a infraestrutura de entrega de spam dos operadores do QakBot, mas apenas seus servidores de comando e controle (C2)", disse o pesquisador da Cisco Talos, Guilherme Venere, em um novo relatório publicado hoje.
A atividade tem sido atribuída com confiança moderada pela empresa de segurança cibernética aos afiliados do QakBot.
Não há evidências até o momento de que os atores de ameaças tenham retomado a distribuição do carregador de malware em si após a desativação da infraestrutura.
O QakBot, também chamado de QBot e Pinkslipbot, teve origem como um trojan bancário baseado em Windows em 2007 e subsequentemente desenvolveu capacidades para entregar cargas úteis adicionais, incluindo ransomware.
Em agosto de 2023, a notória operação de malware foi atingida como parte de uma operação chamada Duck Hunt.
A atividade mais recente, que começou pouco antes da desativação, começa com um arquivo LNK malicioso provavelmente distribuído por emails de phishing que, quando lançado, detona a infecção e, finalmente, implanta o ransomware Ransom Knight, uma nova versão do esquema de ransomware como serviço (RaaS) do Ciclope.
Os arquivos ZIP contendo os arquivos LNK também foram observados incorporando arquivos de complemento do Excel (.XLL) para propagar o RAT Remcos, que facilita o acesso persistente por backdoor aos terminais.
Alguns dos nomes de arquivos usados na campanha estão escritos em italiano, o que sugere que os atacantes estão mirando usuários nessa região.
"Embora não tenhamos visto os atores de ameaças distribuindo o QakBot após a desativação da infraestrutura, avaliamos que o malware provavelmente continuará a representar uma ameaça significativa no futuro", disse Venere.
"Dado que os operadores permanecem ativos, eles podem optar por reconstruir a infraestrutura do QakBot para retomar totalmente sua atividade anterior à desativação."
A Cisco Talos disse ao The Hacker News que as cadeias de ataque também estão sendo usadas para entregar outros malwares como DarkGate, MetaStealer e RedLine Stealer.
"Identificar o verdadeiro escopo é difícil, mas já vimos que a rede de distribuição do QakBot é altamente eficaz e tem a capacidade de implementar campanhas em larga escala", disse Venere à publicação.
"Observamos e-mails de phishing distribuindo esses malwares para vítimas italianas, alemãs e inglesas, o que mostra que a campanha é generalizada.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...