O desenvolvedor do malware Qakbot, ou alguém com acesso ao código fonte, parece estar experimentando novas compilações, pois novas amostras têm sido observadas em campanhas de e-mail desde meados de dezembro.
Uma das variantes observadas usa no Windows um instalador falso para um produto Adobe para enganar o usuário a implantar o malware.
Também chamado de QBot, o malware tem servido por muitos anos como um carregador para várias payloads maliciosas, incluindo ransomware, entregue principalmente por e-mail às vítimas.
Até sua desativação em agosto passado, o QBot havia infectado mais de 700.000 sistemas e em apenas 18 meses causou danos financeiros estimados em mais de US$ 58 milhões.
Codinome Duck Hunt, a operação não envolveu nenhuma prisão, e muitos pesquisadores de segurança acreditavam que os desenvolvedores do Qakbot reconstruiriam sua infraestrutura e reiniciariam as campanhas de distribuição.
No último ano, a Cisco Talos relatou uma campanha Qakbot que havia começado antes da interrupção e ainda estava ativa em outubro.
Os pesquisadores acreditam que isso foi possível porque as autoridades interromperam apenas os servidores de comando e controle do malware, não a infraestrutura de entrega de spam.
Em dezembro de 2023, a Microsoft observou uma campanha de phishing QBot se passando pelo IRS, confirmando temores sobre o retorno do malware.
A força tarefa conjunta de resposta a ameaças avançadas da Sophos, Sophos X-Ops, notou uma nova atividade do Qbot recentemente, com até 10 novas compilações de malware surgindo desde meados de dezembro.
Os novos desenvolvimentos em relação ao Qbot também foram notados por pesquisadores da empresa de segurança em nuvem Zscaler, que publicou em finais de janeiro um relatório técnico sobre o malware e sua evolução desde 2008.
Os analistas da Sophos X-Ops reverse engenharia novas amostras de Qbot, notando pequenos incrementos no número da compilação, o que indica que os desenvolvedores estão testando e refinando os binários.
Amostras de dezembro e janeiro vieram como um executável do Microsoft Software Installer (.MSI) que despejou um binário DLL usando um arquivo .CAB (Windows Cabinet).
Este método difere das versões anteriores que injetavam código em processos benignos do Windows (AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe) para evitar a detecção.
As novas variantes de Qakbot usam técnicas de ofuscação aprimoradas, incluindo criptografia avançada para esconder strings e comunicação de comando e controle (C2).
Especificamente, o malware usa criptografia AES-256 em cima do método XOR visto em amostras mais antigas.
O malware verifica a proteção do endpoint e reintroduz as verificações para ambientes virtualizados, tentando evitar a detecção entrando em um loop infinito se se encontrar em uma máquina virtual.
Além disso, o Qakbot apresenta um popup enganoso sugerindo que o Adobe Setup está rodando no sistema, para enganar os usuários com prompts de instalação falsos que lançam o malware independentemente do que é clicado.
Os pesquisadores da Sophos dizem que, ao monitorar de perto o desenvolvimento do QBot, eles podem atualizar suas regras de detecção e compartilhar informações cruciais com outros fornecedores de segurança.
Embora um pequeno número de amostras tenha surgido após a infraestrutura C2 do Qbot ter sido desativada no ano passado, os pesquisadores acreditam "que qualquer atividade dos atores de ameaças para trazê-lo de volta merece vigilância e escrutínio."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...