Malgré la perturbation de son infrastructure, les acteurs malveillants à l’origine du malware QakBot sont liés à une campagne de phishing en cours depuis début août 2023 qui a conduit à la livraison du ransomware Ransom Knight (alias Cyclops) et de Remcos RAT.
Cela indique que “l’opération d’application de la loi n’a peut-être pas eu d’impact sur l’infrastructure de distribution de spam des opérateurs Qakbot, mais plutôt uniquement sur leurs serveurs de commande et de contrôle (C2),” Guilherme Venere, chercheur chez Cisco Talos. dit dans un nouveau rapport publié aujourd’hui.
L’activité a été attribuée avec une confiance modérée par la société de cybersécurité aux filiales de QakBot. Il n’existe à ce jour aucune preuve que les auteurs de la menace aient repris la distribution du chargeur de malware lui-même après le retrait de l’infrastructure.
QakBot, également appelé QBot et Pinkslipbot, est à l’origine un cheval de Troie bancaire basé sur Windows en 2007 et a ensuite développé des capacités pour fournir des charges utiles supplémentaires, notamment des ransomwares. Fin août 2023, l’opération malveillante notoire a subi un coup dur dans le cadre d’une opération nommée Duck Hunt.
La dernière activité, qui a commencé juste avant le retrait, commence par un fichier LNK malveillant probablement distribué via des e-mails de phishing qui, une fois lancé, fait exploser l’infection et déploie finalement le ransomware Ransom Knight, une récente refonte du ransomware Cyclops-as-a-. système de service (RaaS).
Il a également été observé que les archives ZIP contenant les fichiers LNK incorporaient des fichiers de complément Excel (.XLL) pour propager le Remcos RAT, ce qui facilite l’accès persistant par porte dérobée aux points finaux.
Certains des noms de fichiers utilisés dans la campagne sont écrits en italien, ce qui suggère que les attaquants ciblent les utilisateurs de cette région.
“Bien que nous n’ayons pas vu les acteurs de la menace distribuer Qakbot après le retrait de l’infrastructure, nous estimons que le malware continuera probablement à constituer une menace importante à l’avenir”, a déclaré Venere.
“Étant donné que les opérateurs restent actifs, ils pourraient choisir de reconstruire l’infrastructure de Qakbot pour reprendre pleinement leurs activités d’avant le retrait.”