Pouco mais de três meses após o FBI anunciar a desarticulação do grupo de malware Qakbot, também conhecido como Qbot, pesquisadores da Microsoft detectaram que a botnet está sendo redistribuída em campanhas de phishing.
No final de agosto, durante uma operação policial multinacional chamada Operação Duck Hunt, os servidores do administrador do QakBot foram acessados e a infraestrutura do grupo mapeada.
Após obter acesso às chaves de criptografia da botnet utilizadas para a comunicação do malware, o FBI conseguiu "sequestrá-la" para enviar um módulo DLL (Dynamic-link library) personalizado do Windows aos dispositivos infectados.
Essa DLL executou um comando que interrompeu efetivamente a botnet.
Apesar do serviço de phishing que foi usado para distribuir o QakBot ter ficado ativo desde sua interrupção, não havia nenhum registro de distribuição do malware até a última segunda-feira, 11, quando uma nova campanha de phishing teve início.
A Microsoft está alertando agora que o QakBot está sendo redistribuído numa campanha de phishing disfarçada como um e-mail de um funcionário do departamento fiscal.
A fabricante de software afirma que detectou o ataque de phishing na segunda-feira numa pequena campanha direcionada ao setor de hospitalidade.
Anexado ao e-mail, há um arquivo PDF que finge ser uma lista de convidados dizendo "A visualização do documento não está disponível" e, logo após, solicita que o usuário baixe o PDF para conseguiu visualizá-lo corretamente.
No entanto, ao clicar no botão de download, o usuário acaba baixando um arquivo MSI (Microsoft Installer) que, quando instalado, executa a DLL do malware Qakbot na memória do sistema.
A Microsoft afirma que a DLL foi gerada na segunda-feira, 11, mesmo dia em que a campanha de phishing começou, e usa o código 'tchk06' e os servidores de comando e controle (C&C).
"O mais notável é que a payload do Qakbot entregue estava configurada com a versão inédita 0x500", tuitou a Microsoft, indicando o contínuo desenvolvimento do malware.
Embora seja muito cedo para avaliar se o Qbot chegará a atingir a dimensão anterior, os administradores e usuários precisam ficar atentos aos e-mails de phishing que são comumente usados para distribuir o malware.
O QakBot, também conhecido como Qbot, começou como um trojan bancário em 2008, com desenvolvedores de malware utilizando-o para roubar credenciais bancárias, cookies de sites e cartões de crédito com o intuito de cometer fraudes financeiras.
Com o tempo, o malware evoluiu para um serviço de distribuição de malware, criando parcerias com outros agentes de ameaças para fornecer acesso inicial a redes para a execução de ataques de ransomware, espionagem ou roubo de dados.
O Qakbot é distribuído através de campanhas de phishing que utilizam uma variedade de ganchos, incluindo ataques de e-mail em sequência, que ocorrem quando os agentes de ameaças usam um thread de e-mail roubado e respondem a ele com sua própria mensagem e um documento malicioso anexado.
Esses e-mails geralmente apresentam documentos maliciosos como anexos ou links para download de arquivos maliciosos que instalam o malware Qakbot no dispositivo do usuário.
No passado, o Qakbot colaborou com várias operações de ransomware, incluindo Conti, Prolock, Egregor, REvil, RansomExx, MegaCortex e, mais recentemente, Black Basta e ALPHV/BlackCat.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...