[06/10/2023] Aunque el troyano bancario Qakbot fue erradicado en agosto por una operación policial a gran escala, las personas que estaban detrás siguen activas y suponen una amenaza para los usuarios, según han afirmado ayer los investigadores.
Según un informe del grupo de inteligencia de amenazas Talos de Cisco, sus expertos pueden afirmar con "moderada confianza" que los creadores y operadores de Qakbot están trabajando activamente en una nueva campaña, esta vez distribuyendo una variante del malware Knight, que en julio cambió su nombre por Cyclops. Knight es una amenaza de ransomware que opera como servicio, se distribuye a través de phishing y extorsiona a las empresas víctimas amenazándolas con vender los datos exfiltrados.
El equipo de Talos basó su análisis en la identificación de números de serie de unidades en metadatos de archivos LNK, o de acceso directo de Windows, de computadoras asociadas a los ataques anteriores de Qakbot. A pesar de los intentos de los actores de Qakbot de limpiar los metadatos de los archivos específicos utilizados por Talos, el equipo fue capaz de identificar una máquina como vinculada a esos ataques.
"Algunos de los nombres de los archivos están escritos en italiano, lo que sugiere que la amenaza podría estar dirigida a usuarios de esa región", se lee en el blog de Talos. "Los archivos LNK se distribuyen dentro de archivos Zip que también contienen un archivo XLL".
Los archivos XLL, señaló el grupo, son una extensión de formato de archivo relacionada con Microsoft Excel, que aparecen de forma similar a los archivos .xls normales en una ventana del Explorador. Si se abren, los archivos XLL instalan la puerta trasera Remcos, una herramienta de administración remota que funciona junto con el malware Knight para acceder a los sistemas atacados.
Según Talos, es poco probable que los autores de Qakbot sean los autores intelectuales del servicio de ransomware Knight, sino probablemente clientes. Por lo tanto, es probable que la acción policial dirigida por el FBI que acabó con los servidores de mando y control de Qakbot en agosto no afectara a la infraestructura de phishing del grupo. Esto también puede permitir que el grupo simplemente reconstruya sus propios sistemas back-end para Qakbot, dando lugar a un posible resurgimiento.
Qakbot, según Talos, era una amenaza seria, y una que fue entregada de una manera particularmente inteligente. En lugar de enviar correos electrónicos de phishing no solicitados para distribuir el troyano, los autores de Qakbot secuestraron servidores Exchange en múltiples organizaciones de terceros, formatearon el texto de correos electrónicos legítimos y añadieron la carga útil de Qakbot, y luego enviaron los correos electrónicos maliciosos a hilos de mensajes legítimos en las organizaciones objetivo.
Basado en el artículo de Jon Gold (CSO) y editado por CIO Perú