Novo estudo feito pela Sophos traduz como o botnet Qakbot tem se tornado cada vez mais avançado e perigoso para as organizações. No artigo, intitulado “Qakbot injects itself into the middle of your conversations”, os pesquisadores da Sophos detalham uma campanha recente do Qakbot que mostra como ele se espalha por meio do sequestro de threads de e-mail e coleta uma ampla gama de informações de perfil de máquinas recém-infectadas, incluindo todas as contas de usuário e permissões configuradas, softwares instalados, serviços em execução e muito mais. De acordo com a Sophos, o botnet então baixa uma série de módulos maliciosos adicionais que melhoram sua funcionalidade principal.
O código do malware do Qakbot apresenta uma criptografia não convencional, que também atua para ocultar o conteúdo de suas comunicações. A Sophos descriptografou os módulos maliciosos e decodificou o sistema de comando e controle do botnet para interpretar como ele recebe instruções.
“O Qakbot é um botnet modular e multifuncional distribuído por e-mail que se tornou cada vez mais popular entre os cibercriminosos como uma rede de entrega de malwares, como o Trickbot e o Emotet”, explica Andrew Brandt, principal pesquisador de ameaças da Sophos. “A análise profunda da Sophos sobre o Qakbot revela a captura de dados detalhados do perfil da vítima, além da capacidade de processar sequências complexas de comandos e uma série de cargas úteis para estender a funcionalidade de seu mecanismo principal. Os dias de pensar em bots de ‘commodity’ como meramente irritantes já se foram”.
“As equipes de segurança precisam levar a sério a presença de infecções do Qakbot em sua rede e investigar e remover todos os vestígios. Essas ameaças são um conhecido precursor de ataques de ransomware. Isso não ocorre simplesmente porque os botnets podem entregar um ransomware, mas porque os desenvolvedores vendem ou alugam seu acesso a redes violadas. Por exemplo, a Sophos encontrou amostras do Qakbot que entregam beacons Cobalt Strike diretamente a um host infectado. Uma vez que os operadores tenham usado o computador infectado, eles podem transferir, alugar ou vender o acesso a esses beacons para clientes pagantes”, completa o executivo.
Cadeia e cargas de infecção do Qakbot
Na campanha analisada pela Sophos, o botnet Qakbot inseriu mensagens em conversas de e-mail existentes. Os e-mails inseridos incluem uma frase curta e um link para baixar um arquivo zip contendo uma planilha de Excel maliciosa. O usuário foi solicitado a “habilitar conteúdo” para ativar a cadeia de infecção. Depois que o botnet infectou um novo alvo, ele executou uma varredura de perfil detalhada, compartilhando os dados com seu servidor de comando, além de controlar e baixar módulos maliciosos adicionais.
O Qakbot baixou pelo menos três cargas úteis maliciosas diferentes em formato de bibliotecas de links dinâmicos (DLL). De acordo com a Sophos, essas cargas de DLL fornecem ao botnet uma gama mais ampla de recursos.
As cargas úteis foram injetadas nos navegadores e continham o seguinte:
• Um módulo que injeta um código de roubo de senhas em páginas da web;
• Um módulo que realiza varreduras de rede, coletando dados sobre outras máquinas próximas ao computador infectado;
• Um módulo que identificava os endereços de uma dúzia de servidores de e-mail SMTP (Simple Mail Transfer Protocol) e depois tentava se conectar a cada um deles para enviar spam.
Conselhos de segurança da Sophos
A Sophos recomenda que os usuários abram e-mails incomuns ou inesperados com cautela, mesmo quando as mensagens parecem ser respostas a tópicos de e-mail já existentes. Na campanha do Qakbot investigada pela Sophos, uma possível bandeira vermelha para os destinatários foi o uso de frases em latim em URLs.
As equipes de segurança devem verificar se as proteções fornecidas por suas tecnologias impedem que as infecções do Qakbot se instalem. Os dispositivos de rede devem também alertar os administradores se um usuário infectado tentar se conectar a um endereço ou domínio de comando e controle conhecido.
