Malware Qakbot ataca novamente 3 meses após ter sido desmantelado
18 de Dezembro de 2023

Pouco mais de três meses após o FBI anunciar a desarticulação do grupo de malware Qakbot, também conhecido como Qbot, pesquisadores da Microsoft detectaram que a botnet está sendo redistribuída em campanhas de phishing.

No final de agosto, durante uma operação policial multinacional chamada Operação Duck Hunt, os servidores do administrador do QakBot foram acessados e a infraestrutura do grupo mapeada.

Após obter acesso às chaves de criptografia da botnet utilizadas para a comunicação do malware, o FBI conseguiu "sequestrá-la" para enviar um módulo DLL (Dynamic-link library) personalizado do Windows aos dispositivos infectados.

Essa DLL executou um comando que interrompeu efetivamente a botnet.

Apesar do serviço de phishing que foi usado para distribuir o QakBot ter ficado ativo desde sua interrupção, não havia nenhum registro de distribuição do malware até a última segunda-feira, 11, quando uma nova campanha de phishing teve início.

A Microsoft está alertando agora que o QakBot está sendo redistribuído numa campanha de phishing disfarçada como um e-mail de um funcionário do departamento fiscal.

A fabricante de software afirma que detectou o ataque de phishing na segunda-feira numa pequena campanha direcionada ao setor de hospitalidade.

Anexado ao e-mail, há um arquivo PDF que finge ser uma lista de convidados dizendo "A visualização do documento não está disponível" e, logo após, solicita que o usuário baixe o PDF para conseguiu visualizá-lo corretamente.

No entanto, ao clicar no botão de download, o usuário acaba baixando um arquivo MSI (Microsoft Installer) que, quando instalado, executa a DLL do malware Qakbot na memória do sistema.

A Microsoft afirma que a DLL foi gerada na segunda-feira, 11, mesmo dia em que a campanha de phishing começou, e usa o código 'tchk06' e os servidores de comando e controle (C&C).

"O mais notável é que a payload do Qakbot entregue estava configurada com a versão inédita 0x500", tuitou a Microsoft, indicando o contínuo desenvolvimento do malware.

Embora seja muito cedo para avaliar se o Qbot chegará a atingir a dimensão anterior, os administradores e usuários precisam ficar atentos aos e-mails de phishing que são comumente usados para distribuir o malware.

O QakBot, também conhecido como Qbot, começou como um trojan bancário em 2008, com desenvolvedores de malware utilizando-o para roubar credenciais bancárias, cookies de sites e cartões de crédito com o intuito de cometer fraudes financeiras.

Com o tempo, o malware evoluiu para um serviço de distribuição de malware, criando parcerias com outros agentes de ameaças para fornecer acesso inicial a redes para a execução de ataques de ransomware, espionagem ou roubo de dados.

O Qakbot é distribuído através de campanhas de phishing que utilizam uma variedade de ganchos, incluindo ataques de e-mail em sequência, que ocorrem quando os agentes de ameaças usam um thread de e-mail roubado e respondem a ele com sua própria mensagem e um documento malicioso anexado.

Esses e-mails geralmente apresentam documentos maliciosos como anexos ou links para download de arquivos maliciosos que instalam o malware Qakbot no dispositivo do usuário.

No passado, o Qakbot colaborou com várias operações de ransomware, incluindo Conti, Prolock, Egregor, REvil, RansomExx, MegaCortex e, mais recentemente, Black Basta e ALPHV/BlackCat.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...