Una nueva ola de mensajes de phishing que distribuyen el QakBot Se ha observado malware, más de tres meses después de que un esfuerzo policial desmantelara su infraestructura al infiltrarse en su red de comando y control (C2).
Microsoft, que hizo el descubrimiento, lo describió como una campaña de bajo volumen que comenzó el 11 de diciembre de 2023 y estaba dirigida a la industria hotelera.
«Targets recibió un PDF de un usuario que se hizo pasar por un empleado del IRS», el gigante tecnológico dicho en una serie de publicaciones compartidas en X (anteriormente Twitter).
«El PDF contenía una URL que descarga un instalador de Windows firmado digitalmente (.msi). La ejecución del MSI llevó a que se invocara Qakbot mediante la ejecución de exportación ‘hvsi’ de una DLL integrada».
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Microsoft dijo que la carga útil se generó el mismo día que comenzó la campaña y que está configurada con la versión 0x500 nunca antes vista.
Zscaler ThreatLabz, en un correo compartido en X, describió el QakBot resurgido como un binario de 64 bits que utiliza AES para el cifrado de red y envía solicitudes POST a la ruta /teorema505.
QakBot, también llamado QBot y Pinkslipbot, fue interrumpido como parte de un esfuerzo coordinado llamado Operación Duck Hunt después de que las autoridades lograron acceder a su infraestructura e ordenaron a las computadoras infectadas que descargaran un archivo de desinstalación para dejar el malware ineficaz.
QakBot, que tradicionalmente se distribuye a través de mensajes de correo electrónico no deseado que contienen archivos adjuntos o hipervínculos maliciosos, es capaz de recopilar información confidencial y distribuir malware adicional, incluido ransomware.
En octubre de 2023, Cisco Talos reveló que los afiliados de QakBot estaban aprovechando señuelos de phishing para entregar una combinación de ransomware, troyanos de acceso remoto y malware ladrón.
El regreso de QakBot refleja el de Emotet, que también resurgió a finales de 2021, meses después de que fuera desmantelado por las fuerzas del orden y se mantuvo un duradero amenazaaunque a un nivel inferior.
Si bien queda por ver si el malware volverá a su antiguo esplendor, la resistencia de este tipo de botnets subraya la necesidad de que las organizaciones eviten ser víctimas de correos electrónicos no deseados utilizados en las campañas de Emotet y QakBot.