A pesar de la interrupción de su infraestructura, los actores de amenazas detrás del malware QakBot han estado vinculados a una campaña de phishing en curso desde principios de agosto de 2023 que condujo a la entrega del ransomware Ransom Knight (también conocido como Cyclops) y Remcos RAT.
Esto indica que «la operación policial puede no haber afectado la infraestructura de entrega de spam de los operadores de Qakbot, sino sólo sus servidores de comando y control (C2)», dijo Guilherme Venere, investigador de Cisco Talos. dicho en un nuevo informe publicado hoy.
La empresa de ciberseguridad ha atribuido la actividad con moderada confianza a los afiliados de QakBot. Hasta la fecha, no hay evidencia de que los actores de amenazas hayan reanudado la distribución del cargador de malware después de la destrucción de la infraestructura.
QakBot, también llamado QBot y Pinkslipbot, se originó como un troyano bancario basado en Windows en 2007 y posteriormente desarrolló capacidades para entregar cargas útiles adicionales, incluido ransomware. A finales de agosto de 2023, la infame operación de malware recibió un duro golpe como parte de una operación denominada Duck Hunt.
La última actividad, que comenzó justo antes de la eliminación, comienza con un archivo LNK malicioso probablemente distribuido a través de correos electrónicos de phishing que, cuando se lanza, detona la infección y finalmente implementa el ransomware Ransom Knight, un cambio de marca reciente del ransomware Cyclops-as-a-. esquema de servicio (RaaS).
También se ha observado que los archivos ZIP que contienen los archivos LNK incorporan archivos complementarios de Excel (.XLL) para propagar Remcos RAT, lo que facilita el acceso persistente por puerta trasera a los puntos finales.
Algunos de los nombres de archivos utilizados en la campaña están escritos en italiano, lo que sugiere que los atacantes se dirigen a usuarios de esa región.
«Aunque no hemos visto a los actores de amenazas distribuyendo Qakbot después de la destrucción de la infraestructura, evaluamos que el malware probablemente seguirá representando una amenaza significativa en el futuro», dijo Venere.
«Dado que los operadores permanecen activos, pueden optar por reconstruir la infraestructura de Qakbot para reanudar completamente su actividad previa a la eliminación».