Pouco mais de três meses após o FBI ter anunciado o desmantelamento do grupo de malware Qakbot, também conhecido como Qbot, pesquisadores da Microsoft identificaram que a botnet está sendo distribuída novamente em campanhas de phishing.
No fim de agosto, uma operação policial multinacional denominada Operação Duck Hunt acessou os servidores do administrador do QakBot e mapeou a infraestrutura do grupo. Depois de obter acesso às chaves de criptografia da botnet usadas para comunicação de malware, o FBI foi capaz de “sequestrá-la” para enviar um módulo DLL (Dynamic-link library) personalizado do Windows para dispositivos infectados. Essa DLL executou um comando que interrompeu efetivamente a botnet.
Embora um serviço de phishing que foi usado para distribuir o QakBot tenha estado em atividade desde a sua interrupção, não havia registro de distribuição do malware até a última segunda-feira, 11, quando a nova campanha de phishing começou.
A Microsoft agora está alertando que o QakBot está sendo distribuído novamente em uma campanha de phishing fingindo ser um e-mail de um funcionário da Receita Federal. A fabricante de software diz que observou pela primeira vez o ataque de phishing na segunda-feira em uma pequena campanha direcionada ao setor de hospitalidade.
Anexado ao e-mail está um arquivo PDF fingindo ser uma lista de convidados que diz “A visualização do documento não está disponível” e, em seguida, solicita que o usuário baixe o PDF para visualizá-lo corretamente. No entanto, ao clicar no botão de download, o destinatário baixa um arquivo MSI (Microsoft Installer) que, quando instalado, lança a DLL do malware Qakbot na memória.
A Microsoft diz que a DLL foi gerada na segunda-feira, 11, mesmo dia em que a campanha de phishing começou, e usa o código ‘tchk06’ e servidores de comando e controle (C&C). “Mais notavelmente, a carga útil do Qakbot entregue foi configurada com a versão inédita 0x500”, tuitou a Microsoft, indicando o desenvolvimento contínuo do malware.
Veja isso
Qbot lidera ranking nacional de malware há sete meses
QBot usa WordPad do Windows 10 para infectar dispositivos
Embora seja muito cedo para dizer se o Qbot irá assumir a dimensão anterior, administradores e usuários precisam estar atentos aos e-mails de phishing da cadeia de resposta que são comumente usados para distribuir o malware.
O QakBot, também conhecido como Qbot, começou como um trojan bancário em 2008, com desenvolvedores de malware usando-o para roubar credenciais bancárias, cookies de sites e cartões de crédito para cometer fraudes financeiras. Com o tempo, o malware evoluiu para um serviço de entrega de malware, fazendo parceria com outros agentes de ameaças para fornecer acesso inicial a redes para a realização de ataques de ransomware, espionagem ou roubo de dados.
O Qakbot é distribuído por meio de campanhas de phishing que utilizam uma variedade de iscas, incluindo ataques de e-mail em cadeia de resposta, que é quando os agentes de ameaças usam um thread de e-mail roubado e, em seguida, respondem a ele com sua própria mensagem e um documento malicioso anexado. Esses e-mails geralmente incluem documentos maliciosos como anexos ou links para baixar arquivos maliciosos que instalam o malware Qakbot no dispositivo de um usuário.
No passado, o Qakbot fez parceria com várias operações de ransomware, incluindo Conti, Prolock, Egregor, REvil, RansomExx, MegaCortex e, mais recentemente, Black Basta e ALPHV/BlackCat.