Pesquisadores de cibersegurança revelaram detalhes de um novo malware BackConnect (BC) desenvolvido por atores de ameaça ligados ao infame carregador QakBot.
"O BackConnect é um recurso ou módulo comum utilizado por atores de ameaça para manter persistência e realizar tarefas", informou a equipe de Cyber Intelligence do Walmart.
Os BackConnect(s) em uso eram o 'DarkVNC' junto com o BackConnect do IcedID (KeyHole). A empresa observou que o módulo BC foi encontrado na mesma infraestrutura que observou a distribuição de outro carregador de malware chamado ZLoader, que foi recentemente atualizado para incorporar um túnel do Domain Name System (DNS) para comunicações de command-and-control (C2).
QakBot, também chamado de QBot e Pinkslipbot, sofreu um grande revés operacional em 2023 após sua infraestrutura ser apreendida como parte de um esforço coordenado de aplicação da lei chamado Duck Hunt.
Desde então, campanhas esporádicas foram descobertas propagando o malware.
Originalmente concebido como um trojan bancário, foi posteriormente adaptado para um carregador capaz de entregar payloads de fase seguinte no sistema alvo, como ransomware.
Uma característica notável do QakBot, ao lado do IcedID, é seu módulo BC que oferece aos atores de ameaça a capacidade de usar o host como proxy, bem como oferecer um canal de acesso remoto por meio de um componente VNC embutido.
A análise do Walmart revelou que o módulo BC, além de conter referências a amostras antigas do QakBot, foi ainda mais aprimorado e desenvolvido para coletar informações do sistema, agindo mais ou menos como um programa autônomo para facilitar a exploração subsequente.
"Neste caso, o malware do qual falamos é um backdoor autônomo que utiliza o BackConnect como meio para permitir que um ator de ameaça tenha acesso ao teclado", disse o Walmart.
Esta distinção é ainda mais pronunciada pelo fato de que este backdoor coleta informações do sistema.
O malware BC também foi objeto de uma análise independente pela Sophos, que atribuiu os artefatos a um cluster de ameaça que rastreia como STAC5777, que, por sua vez, se sobrepõe com Strom-1811, um grupo cibercriminoso conhecido por abusar do Quick Assist para implementação do ransomware Black Basta, posando como pessoal de suporte técnico.
A empresa britânica de cibersegurança observou que tanto o STAC5777 quanto o STAC5143 — um grupo de ameaças com possíveis laços com o FIN7 — recorreram a bombardeios de email e vishing do Microsoft Teams para alvos potenciais e enganá-los para conceder aos atacantes acesso remoto aos seus computadores via Quick Assist ou compartilhamento de tela embutido do Teams para instalar backdoors Python e o ransomware Black Basta.
"Ambos os atores de ameaça operaram seus próprios inquilinos de serviço do Microsoft Office 365 como parte de seus ataques e aproveitaram uma configuração padrão do Microsoft Teams que permite que usuários de domínios externos iniciem chats ou reuniões com usuários internos", disse a Sophos.
Com os operadores do Black Basta tendo anteriormente confiado no QakBot para implantar o ransomware, o surgimento de um novo módulo BC, junto com o fato de que o Black Basta também distribuiu ZLoader nos últimos meses, pinta um quadro de um ecossistema de cibercrime altamente interconectado onde os desenvolvedores por trás do QakBot provavelmente estão apoiando a equipe do Black Basta com novas ferramentas, disse o Walmart.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...