O Sophos X-Ops descobriu e analisou uma nova variante do malware Qakbot. Esses casos surgiram pela primeira vez em meados de dezembro e mostram que o malware Qakbot continuou a evoluir, apesar do desmantelamento bem-sucedido da infraestrutura da botnet pelas autoridades policiais em agosto passado.
Os invasores usam métodos ainda melhores para encobrir seus rastros. Os casos analisados pelo Sophos X-Ops mostram que os cibercriminosos fizeram esforços conjuntos para fortalecer a criptografia do malware. Isso tornou mais difícil para os defensores analisarem o código malicioso. Além disso, os invasores agora criptografam todas as comunicações entre o malware e o servidor de controle usando um método mais forte do que nas versões anteriores. O malware também reintroduziu um recurso removido anteriormente que o impede de ser executado em um ambiente virtual ou sandbox.
Criador do Qakbot ainda ativo
Somente se os criadores do bot forem processados o Quakbot poderá acabar. “Desmantelar a infraestrutura do botnet Qakbot foi uma vitória, mas os criadores do bot continuam ativos”, disse Andrew Brandt, pesquisador principal do Sophos X-Ops, comentando sobre os recentes incidentes do Qakbot. “Os cibercriminosos que têm acesso ao código-fonte original do Qakbot estão experimentando novas variantes e testando-as no mundo real.
Uma das mudanças mais notáveis diz respeito ao algoritmo de criptografia que o bot usa para ocultar configurações padrão embutidas em código. Isso torna ainda mais difícil para os analistas ver como o malware funciona. Os invasores também estão restaurando recursos anteriormente obsoletos, como detecção de máquina virtual (VM), e testando-os nessas novas versões. É muito provável que o desenvolvimento do Qakbot continue até que os seus criadores sejam processados. A boa notícia é que essas novas variantes do Qakbot com assinaturas criadas anteriormente podem ser facilmente detectadas pelo software de detecção de endpoint.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.
Artigos relacionados ao tema