Embora o trojan bancário Qakbot tenha sido erradicado em agosto em uma operação policial em grande escala, os operadores por trás do malware ainda estão ativos e representam uma ameaça para os usuários, disseram pesquisadores nesta quinta-feira, 5.
De acordo com um relatório do grupo de inteligência de ameaças Cisco Talos, seus especialistas podem dizer com “confiança moderada” que os criadores e operadores do Qakbot estão trabalhando ativamente em uma nova campanha, desta vez distribuindo uma variante do malware Knight, que mudou de nome para Cyclops em julho. Knight é uma ameaça de ransomware que opera como um serviço, distribuído por meio de phishing e extorquindo dinheiro de empresas vitimadas, ameaçando vender dados exfiltrados.
A equipe da Talos baseou sua análise na identificação de números de série de unidades em metadados de arquivos LNK, ou atalho do Windows, de computadores associados aos ataques anteriores do Qakbot. Apesar das tentativas dos operadores de limpar metadados dos arquivos específicos usados pela Talos, a equipe ainda foi aparentemente capaz de identificar uma máquina como sendo ligada a esses ataques.
“Alguns dos nomes de arquivos são escritos em italiano, o que sugere que os operadores de ameaças podem estar visando usuários naquela região”, disse o blog da Talos. “Os arquivos LNK estão sendo distribuídos dentro de arquivos Zip que também contêm um arquivo XLL.” Arquivos XLL são uma extensão de formato de arquivo relacionada ao Microsoft Excel, que aparecem como arquivos .xls normais em uma janela do Explorer. Se abertos, instalam a backdoor Remcos, que é uma ferramenta de administração remota que funciona em conjunto com o malware Knight para obter acesso aos sistemas visados.
Veja isso
Qbot se consolida como principal malware no Brasil
FBI derruba a botnet Qakbot que infectou mais de 700 mil PCs
A Talos disse que é improvável que os operadores do Qakbot sejam os mentores por trás do próprio serviço de ransomware Knight . Provavelmente são “clientes”. A ação de fiscalização liderada pelo FBI que derrubou os servidores de comando e controle (C&C) do Qakbot em agosto, portanto, provavelmente não afetou a infraestrutura de phishing do grupo. Isso também pode permitir que o grupo simplesmente reconstrua seus próprios sistemas de back-end para o Qakbot, levando a um potencial ressurgimento.
O Qakbot, de acordo com a Talos, era uma ameaça séria, que foi entregue de maneira particularmente inteligente. Em vez de enviar e-mails de phishing não solicitados para distribuir o trojan, seus operadores sequestravam servidores Exchange em várias organizações, formatavam o texto de e-mails legítimos e adicionavam a carga útil do malware. Em seguida, enviavam os e-mails maliciosos para threads de mensagens legítimas nas organizações de destino.