Qakbot executa varreduras de perfil detalhadas de computadores infectados, baixa módulos adicionais e oferece criptografia sofisticada. Ponto de partida para os ataques: os cibercriminosos se apegam habilmente a linhas de comunicação de e-mail reais. O botnet Qakbot segue os passos do Emotet.
A Sophos publicou uma análise técnica do Qakbot mostrando que o botnet está se tornando cada vez mais sofisticado e perigoso para as empresas. No artigo “Qakbot se injeta no meio de suas conversas”, a SophosLabs descreve uma campanha recente do Qakbot que mostra como o botnet se espalha por meio do seqüestro de tópicos de e-mail e coleta uma variedade de informações de perfil de computadores recém-infectados. Isso inclui, entre outras coisas, todas as contas e permissões de usuário configuradas, software instalado e serviços em execução. O botnet também baixa vários módulos maliciosos adicionais que estendem a funcionalidade do botnet principal.
O código de malware do Qakbot apresenta criptografia não convencional. Isso também serve para disfarçar o conteúdo da comunicação. Ao decifrar os módulos maliciosos do botnet e o sistema de comando e controle, a Sophos descobriu como o Qakbot recebe suas instruções.
A cadeia de infecção Qakbot
Na campanha analisada pela Sophos, o botnet inseriu mensagens maliciosas no tráfego de e-mail existente. Os e-mails contêm uma frase curta e um link para baixar um arquivo zip contendo um arquivo Excel malicioso. Os usuários foram solicitados a ativar o conteúdo para ativar a cadeia de infecção. Assim que o botnet infectasse um novo alvo, ele executaria uma verificação detalhada do perfil, compartilharia os dados com seu servidor de comando e controle e, em seguida, baixaria pelo menos três módulos maliciosos diferentes na forma de bibliotecas de vínculo dinâmico (DLLs). dar ao botnet uma gama mais ampla de recursos.
Os módulos importados consistiam em:
- Um módulo que injeta código de roubo de senha em sites
- Um módulo que executa varreduras de rede e coleta dados sobre outras máquinas próximas à máquina infectada
- Um módulo que procura os endereços de uma dúzia de servidores de e-mail SMTP (Simple Mail Transfer Protocol) e tenta se conectar a cada um deles e enviar spam
Precursores conhecidos de um ataque de ransomware
“O Qakbot é um botnet modular multifuncional distribuído por e-mail. Os cibercriminosos estão cada vez mais usando-o como uma ferramenta de entrega de malware, semelhante ao Trickbot e Emotet”, disse Andrew Brandt, Pesquisador Principal de Ameaças da Sophos. “Nossa análise demonstra a coleta de dados detalhados do perfil da vítima, a capacidade do botnet de processar sequências de comandos complexas e vários módulos que estendem a funcionalidade do mecanismo principal do botnet”.
As infecções por botnet são um precursor bem conhecido de um ataque de ransomware. Isso não ocorre apenas porque os botnets potencialmente fornecem ransomware. Os desenvolvedores de botnet também podem vender ou alugar seu acesso às redes infectadas. Por exemplo, as equipes da Sophos encontraram amostras de Qakbot que fornecem beacons Cobalt Strike, o primeiro pé na porta da rede corporativa, diretamente para um host infectado. Depois que os operadores do Qakbot usam o computador infectado, eles podem dar, alugar ou vender acesso a esses beacons para seus clientes.
O que fazer contra o Qakbot?
A Sophos recomenda que você seja cauteloso com e-mails incomuns ou inesperados, mesmo que as mensagens pareçam ser respostas ao tráfego de e-mail existente. Na campanha Qakbot que a Sophos investigou, o uso de frases latinas em URLs era uma bandeira vermelha em potencial.
Além disso, as equipes de segurança devem verificar se as proteções comportamentais fornecidas por suas tecnologias de segurança impedem a infecção por Qakbot. Os dispositivos de rede também alertam os administradores quando um usuário infectado tenta se conectar a um endereço ou domínio de comando e controle conhecido. Para obter mais informações, consulte o artigo “Qakbot se insere no meio de suas conversas” no SophosLabs.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.