Sophos X-Ops ha descubierto y analizado una nueva variante del malware Qakbot. Estos casos surgieron por primera vez a mediados de diciembre y muestran que el malware Qakbot ha seguido evolucionando a pesar del exitoso desmantelamiento de la infraestructura de la botnet por parte de las autoridades en agosto pasado.
Los atacantes utilizan métodos aún mejores para cubrir sus huellas. Los casos analizados por Sophos X-Ops muestran que los ciberdelincuentes hicieron esfuerzos concertados para fortalecer el cifrado del malware. Esto ha hecho que a los defensores les resulte más difícil analizar el código malicioso. Además, los atacantes ahora cifran todas las comunicaciones entre el malware y el servidor de control utilizando un método más seguro que en versiones anteriores. El malware también reintrodujo una característica previamente eliminada que impide que se ejecute en un entorno virtual o sandbox.
El creador de Qakbot sigue activo
Sólo si los creadores del bot son procesados podría terminar Quakbot. "Desmantelar la infraestructura de la botnet Qakbot fue una victoria, pero los creadores del bot siguen activos", dijo Andrew Brandt, investigador principal de Sophos X-Ops, al comentar los recientes incidentes con Qakbot. “Los ciberdelincuentes que tienen acceso al código fuente original de Qakbot están experimentando con nuevas variantes y probándolas en el mundo real.
Uno de los cambios más notables se refiere al algoritmo de cifrado que utiliza el bot para ocultar configuraciones predeterminadas codificadas. Esto hace que sea aún más difícil para los analistas ver cómo funciona el malware. Los atacantes también están restaurando funciones previamente obsoletas, como la detección de máquinas virtuales (VM), y probándolas en estas nuevas versiones. Es muy probable que el desarrollo de Qakbot continúe hasta que sus creadores sean procesados. La buena noticia es que estas nuevas variantes de Qakbot con firmas creadas previamente pueden detectarse fácilmente mediante un software de detección de terminales.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.
Artículos relacionados con el tema