Los operadores detrás del malware Qakbot están transformando sus vectores de entrega en un intento de eludir la detección.
“Más recientemente, los actores de amenazas han transformado sus técnicas para evadir la detección mediante el uso de extensiones de archivos ZIP, nombres de archivos atractivos con formatos comunes y Excel (XLM) 4.0 para engañar a las víctimas para que descarguen archivos adjuntos maliciosos que instalan Qakbot”, los investigadores de Zscaler Threatlabz, Tarun Dewan y Aditya Sharma dijo.
Otros métodos adoptados por el grupo incluyen la ofuscación de código, la introducción de nuevas capas en la cadena de ataque desde el compromiso inicial hasta la ejecución, y el uso de múltiples URL, así como extensiones de archivo desconocidas (p. ej., .OCX, .ooccxx, .dat o .gyp) para entregar la carga útil.
También llamado QBot, QuackBot o Pinkslipbot, Qakbot ha sido una amenaza recurrente desde finales de 2007, evolucionando desde sus días iniciales como un troyano bancario hasta un ladrón de información modular capaz de implementar cargas útiles de próxima etapa, como ransomware.
“Qakbot es una herramienta flexible posterior a la explotación que incorpora varias capas de técnicas de evasión de defensa diseñadas para minimizar las detecciones”, Fortinet revelado en diciembre de 2021.
“El diseño modular de Qakbot y su infame resistencia frente a la detección tradicional basada en firmas lo convierten en la primera opción deseable para muchos grupos motivados económicamente (ciberdelincuentes)”.
Las tácticas cambiantes adoptadas por el malware de macros XLM a principios de 2022 a archivos .LNK en mayo se consideran un intento de contrarrestar los planes de Microsoft de bloquear las macros de Office de forma predeterminada en abril de 2022, una decisión que desde entonces ha revertido temporalmente.
Además, otras modificaciones incluyen el uso de PowerShell para descargar el malware DLL y un cambio de regsvr32.exe a rundll32.exe para cargar la carga útil, en lo que los investigadores describieron como una “clara señal de que Qakbot evoluciona para evadir las prácticas de seguridad actualizadas y defensas”.