MALWARE QBOT RETORNA EM CAMPANHA DIRECIONADA À INDÚSTRIA HOTELEIRA

 

O malware QakBot está mais uma vez sendo distribuído em campanhas de phishing depois que a botnet foi interrompida pelas autoridades durante o verão.

Em agosto, uma operação multinacional de aplicação da lei chamada Operação Duck Hunt acessou os servidores do administrador do QakBot e mapeou a infraestrutura da botnet.

Depois de obter acesso às chaves de criptografia da botnet usadas para comunicação de malware, o FBI conseguiu sequestrar a botnet para enviar um módulo DLL personalizado do Windows aos dispositivos infectados. Essa DLL executou um comando que encerrou o malware QakBot, interrompendo efetivamente o botnet.

Embora um serviço de phishing usado para distribuir o malware Qbot tenha observado atividade desde a interrupção, não houve distribuição do malware QakBot até segunda-feira passada, quando a nova campanha de phishing começou.

QakBot retorna

A Microsoft agora está alertando que o QakBot está sendo distribuído novamente em uma campanha de phishing que finge ser um e-mail de um funcionário do IRS.

A Microsoft afirma ter observado o ataque de phishing pela primeira vez em 11 de dezembro, em uma pequena campanha direcionada à indústria hoteleira.

Novos e-mails de phishing do Qakbot se passando pelo IRSFonte: Microsoft no Twitter

Anexado ao e-mail está um arquivo PDF que finge ser uma lista de convidados que diz “A visualização do documento não está disponível” e solicita que o usuário baixe o PDF para visualizá-lo corretamente.

No entanto, ao clicar no botão de download, os destinatários baixarão um MSI que, quando instalado, lança a DLL do malware Qakbot na memória.

A Microsoft diz que a DLL foi gerada em 11 de dezembro, mesmo dia em que a campanha de phishing começou, e usa um código de campanha ‘tchk06’ e servidores de comando e controle em 45.138.74.191:443 e 65.108.218.24:443.

“Mais notavelmente, a carga útil do Qakbot entregue foi configurada com a versão 0x500 nunca antes vista”, tuitou a Microsoft, indicando o desenvolvimento contínuo do malware.

Os pesquisadores de segurança Pim Trouerbach e Tommy Madjar também confirmaram que a carga útil do Qakbot distribuída é nova, com algumas pequenas alterações.

Trouerbach disse ao BleepingComputer que há pequenas alterações na nova DLL QakBot, incluindo o uso de AES para descriptografar strings em vez de XOR na versão anterior.

Além disso, Trouerbach acredita que a nova versão ainda está em desenvolvimento porque contém alguns bugs incomuns.

Como Trouerbach tuitou, depois que o Emotet foi interrompido pelas autoridades em 2021, os atores da ameaça tentaram reanimar sua botnet com pouco sucesso.

Embora seja muito cedo para dizer se o Qbot terá problemas para recuperar seu tamanho anterior, os administradores e usuários precisam estar atentos aos e-mails de phishing em cadeia de resposta que são comumente usados ​​para distribuir o malware.

O que é o malware Qbot

QakBot, também conhecido como Qbot, começou como um trojan bancário em 2008, com desenvolvedores de malware usando-o para roubar credenciais bancárias, cookies de sites e cartões de crédito para cometer fraudes financeiras.

Com o tempo, o malware evoluiu para um serviço de entrega de malware, em parceria com outros agentes de ameaças para fornecer acesso inicial às redes para a realização de ataques de ransomware, espionagem ou roubo de dados.

O Qakbot é distribuído por meio de campanhas de phishing que utilizam uma variedade de iscas, incluindo ataques de e-mail em cadeia de resposta, que ocorre quando os agentes da ameaça usam um tópico de e-mail roubado e depois respondem a ele com sua própria mensagem e um documento malicioso anexado.

Esses e-mails geralmente incluem documentos maliciosos como anexos ou links para baixar arquivos maliciosos que instalam o malware Qakbot no dispositivo do usuário.

Esses documentos variam entre campanhas de phishing e variam de documentos do Word ou Excel com macros maliciosas, arquivos do OneNote com arquivos incorporados, até anexos ISO com executáveis ​​e atalhos do Windows. Alguns deles também foram projetados para explorar vulnerabilidades de dia zero no Windows.

Uma vez instalado, o malware injetará uma DLL em um processo legítimo do Windows, como wermgr.exe ou AtBroker.exe, e será executado silenciosamente em segundo plano enquanto implanta cargas adicionais.

No passado, Qakbot fez parceria com várias operações de ransomware, incluindo Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e, mais recentemente, Black Basta e BlackCat/ALPHV.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/qbot-malware-returns-after-this-summers-law-enforcement-disruption/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #malware #qbot #retorna #em #campanha #direcionada #à #indústria #hoteleira