Las cadenas infecciosas asociadas con el malware multipropósito de Qakbot se han dividido en «diferentes bloques de construcción», un esfuerzo que, según Microsoft, ayudará a detectar de manera proactiva y bloquear eficazmente la amenaza.

Apodado Microsoft 365 Defender Threat Intelligence Team Qakbot «Un camaleón personalizable que se adapta a las necesidades de los diferentes grupos de amenazas que lo explotan».

Se considera que Qakbot es la creación de un grupo de ciberdelincuentes con motivación financiera conocido como Gold Lagoon. Es el malware de robo de malware predominante que se ha convertido en el precursor de muchos ataques de ransomware críticos y generalizados en los últimos años y ofrece la instalación de malware como un servicio que permite muchas campañas.

El malware modular, descubierto por primera vez en 2007, evolucionó desde sus primeras raíces como un troyano bancario para convertirse en una navaja suiza capaz de filtrar datos y actuar como un mecanismo para entregar datos de segunda fase, incluido el ransomware. También son notables sus tácticas para secuestrar hilos de correo electrónico legítimos de las víctimas de los clientes de Outlook a través del componente Recopilador de correo electrónico y utilizar estos hilos como cebos de phishing para infectar otras computadoras.

«Poner en peligro los servicios IMAP y los proveedores de servicios de correo electrónico (ESP) o secuestrar los correos electrónicos permite a los atacantes aprovechar la confianza de las víctimas potenciales en las personas con las que se comunicaron anteriormente, y también les permite fingir ser una organización comprometida», Trend Micro investigadores dijeron. Ian Kenefick y Vladimir Kropotov describieron el mes pasado en detalle. «De hecho, es mucho más probable que los objetivos previstos abran correos electrónicos de un remitente de buena reputación».

La actividad de Qakbot monitoreada por una empresa de ciberseguridad durante el período de siete meses entre el 25 de marzo de 2021 y el 25 de octubre de 2021 muestra que Estados Unidos, Japón, Alemania, India, Taiwán, Italia, Corea del Sur, Turquía, España y Francia son los principales países objetivo., con penetraciones que afectan en particular a los sectores de telecomunicaciones, tecnología y educación.

Recientemente, las campañas de spam han llevado al despliegue de un nuevo gestor de arranque llamado SQUIRRELWAFFLE, que permite a los atacantes obtener soporte inicial en redes corporativas y bloquear cargas útiles maliciosas en sistemas infectados, como Qakbot y Cobalt Strike.

Ahora, según Microsoft, las cadenas de ataque que involucran a Qakbot consisten en varios bloques de construcción que mapean las diversas etapas del compromiso, directamente de los métodos adoptados para distribuir malware (enlaces, archivos adjuntos o imágenes incrustadas) antes de una serie de post-exploits. actividades como robo de inicio de sesión, filtrado de correo electrónico, desplazamiento de página y despliegue y ransomware de balizas de Cobalt Strike.

La compañía con sede en Redmond señaló que los correos electrónicos relacionados con Qakbot enviados por atacantes ocasionalmente pueden venir con un archivo adjunto a un archivo ZIP que contiene una tabla que contiene macros de Excel 4.0, un vector de acceso inicial que se explota ampliamente en los ataques de phishing. Independientemente del mecanismo utilizado para distribuir malware, las campañas comparten macros maliciosas comunes de Excel 4.0.

Si bien las macros están desactivadas de forma predeterminada en Microsoft Office, se solicita a los destinatarios de correo electrónico que permitan que la macro muestre el contenido real del documento. Esto desencadena la siguiente fase del ataque para descargar datos maliciosos de uno o más dominios controlados por el atacante.

Más a menudo, Qakbot es solo el primer paso para ser parte de un ataque más grande, con los actores de amenazas que utilizan un punto de soporte inicial facilitado por malware para instalar cargas útiles adicionales o para vender acceso al mejor postor en foros clandestinos que luego pueden aprovechar. hacerlo para sus propios fines. En junio de 2021, la empresa de seguridad corporativa Proofpoint descubrió cómo los jugadores de ransomware estaban pasando cada vez más de usar mensajes de correo electrónico como una ruta de intersección a comprar acceso a los ciberdelincuentes que ya se habían infiltrado en grandes entidades.

«La modularidad y flexibilidad de Qakbot podría ser un desafío para los analistas de seguridad y los defensores, ya que las campañas simultáneas de Qakbot podrían verse significativamente diferentes en cada instalación afectada, lo que ha afectado significativamente la forma en que estos defensores responden a tales ataques», dijeron los investigadores. «Por lo tanto, una comprensión más profunda de Qakbot es fundamental para construir una estrategia de defensa integral y coordinada contra él».