Ha sido detectada una nueva oleada de mensajes de phishing que distribuyen el malware QakBot, tras más de tres meses desde que una iniciativa policial desmantelara su infraestructura infiltrándose en su red de control y comando (C2).
Microsoft, quien hizo el descubrimiento, describió la campaña como de baja intensidad y que comenzó el 11 de diciembre de 2023, apuntando a la industria hotelera.
«Los objetivos recibieron un PDF de un usuario que se hacía pasar por un empleado del IRS», dijo la gigante tecnológica en una serie de publicaciones compartidas en X (anteriormente Twitter).
«El PDF contenía una URL que descargaba un instalador de Windows (.msi) con firma digital. Al ejecutar el MSI se activó QakBot mediante la ejecución de exportación ‘hvsi’ de una DLL incrustada».
Microsoft dijo que el cargador fue generado el mismo día que comenzó la campaña y que está configurado con la versión 0x500, que no se había visto antes.
Zscaler ThreatLabz, en una publicación compartida en X, describió el resurgimiento de QakBot como un binario de 64 bits que utiliza AES para la encriptación de la red y envía solicitudes POST al camino /teorema505.
QakBot, también conocido como QBot y Pinkslipbot, fue desmantelado como parte de una iniciativa coordinada llamada Operación Duck Hunt, después de que las autoridades lograran acceder a su infraestructura e instruir a las computadoras infectadas a descargar un archivo de desinstalación para hacer que el malware fuera ineficaz.
Tradicionalmente distribuido a través de mensajes de correo electrónico no deseados que contenían adjuntos maliciosos o enlaces hipertexto, QakBot es capaz de recopilar información sensible, así como de proporcionar malware adicional, incluyendo ransomware.
En octubre de 2023, Cisco Talos reveló que las asociaciones de QakBot estaban utilizando señuelos de phishing para distribuir una mezcla de ransomware, troyanos de acceso remoto y malware de robo.
El regreso de QakBot refleja el de Emotet, que también reapareció a finales de 2021 meses después de haber sido desmantelado por las autoridades policiales y ha seguido siendo una amenaza persistente, aunque en menor medida.
Aunque queda por ver si el malware volverá a su antigua gloria, la resistencia de tales botnets subraya la necesidad de que las organizaciones eviten convertirse en víctimas de correos electrónicos no deseados utilizados en las campañas de Emotet y QakBot.
«No es inusual ver que los malware regresen después de acciones policiales, los dos más destacados son TrickBot y Emotet», dijo Selena Larson, analista senior de inteligencia de amenazas de Proofpoint, en una declaración compartida con este medio.
«Aunque el regreso de Qbot a los datos de amenazas por correo electrónico es notable, no se ha observado al mismo volumen ni escala que en las campañas anteriores. La interrupción policial parece seguir teniendo un impacto en las operaciones de Qbot.