Los investigadores de ciberseguridad han revelado detalles de un nuevo malware BackConnect (BC) desarrollado por actores de amenazas vinculados al infame cargador QakBot.
“BackConnect es una característica o módulo común utilizado por los actores de amenazas para mantener la persistencia y realizar tareas”, dijo el equipo de Cyber Intelligence de Walmart a The Hacker News. “Los BackConnect en uso eran ‘DarkVNC’ junto con IcedID BackConnect (Ojo de cerradura). “
La compañía señaló que el módulo BC se encontró en la misma infraestructura que se observó distribuyendo otro cargador de malware llamado ZLoader, que se actualizó recientemente para incorporar un túnel del Sistema de nombres de dominio (DNS) para comunicaciones de comando y control (C2).
QakBot, también llamado QBot y Pinkslipbot, sufrió un importante revés operativo en 2023 después de que su infraestructura fuera confiscada como parte de un esfuerzo coordinado de aplicación de la ley llamado Duck Hunt. Desde entonces, se han descubierto campañas esporádicas que propagan el malware.
Originalmente concebido como un troyano bancario, luego se adaptó a un cargador capaz de entregar cargas útiles de la siguiente etapa a un sistema objetivo, como un ransomware. Una característica notable de QakBot, junto con IcedID, es su módulo BC que ofrece a los actores de amenazas la capacidad de utilizar el host como proxy, así como ofrecer un canal de acceso remoto mediante un componente VNC integrado.
El análisis de Walmart ha revelado que el módulo BC, además de contener referencias a muestras antiguas de QakBot, ha sido mejorado y desarrollado aún más para recopilar información del sistema, actuando más o menos como un programa autónomo para facilitar la explotación posterior.
“En este caso, el malware del que hablamos es una puerta trasera independiente que utiliza BackConnect como medio para permitir que un actor de amenazas tenga acceso al teclado”, dijo Walmart. “Esta distinción se ve aún más pronunciada por el hecho de que esta puerta trasera recopila información del sistema”.
El malware BC también ha sido objeto de un análisis independiente por parte de Sophos, que atribuyó los artefactos a un grupo de amenazas que rastrea como STAC5777, que, a su vez, se superpone con Storm-1811, un grupo cibercriminal conocido por abusar de Quick Assist para Black Basta. implementación de ransomware haciéndose pasar por personal de soporte técnico.
La empresa británica de ciberseguridad señaló que tanto STAC5777 como STAC5143 -un grupo de amenazas con posibles vínculos con FIN7- han recurrido a bombardeo de correo electrónico y Microsoft Teams atacan a posibles objetivos y los engañan para que otorguen a los atacantes acceso remoto a sus computadoras a través de Quick Assist o el uso compartido de pantalla integrado de Teams para instalar puertas traseras de Python y el ransomware Black Basta.
“Ambos actores de amenazas operaron sus propios inquilinos del servicio Microsoft Office 365 como parte de sus ataques y aprovecharon una configuración predeterminada de Microsoft Teams que permite a los usuarios de dominios externos iniciar chats o reuniones con usuarios internos”, Sophos dicho.
Con los operadores de Black Basta teniendo previamente confiado en QakBot para implementar el ransomware, la aparición de un nuevo módulo BC, junto con el hecho de que Black Basta también ha distribuido ZLoader en los últimos meses, pinta una imagen de un ecosistema de cibercrimen altamente interconectado donde los desarrolladores detrás de QakBot probablemente estén apoyando a Black Basta. equipo con nuevas herramientas, dijo Walmart.
About the Author
