A pesar de la interrupción de su infraestructura, los actores de amenazas detrás del malware QakBot han sido vinculados a una campaña de phishing en curso desde principios de agosto de 2023, que resultó en la entrega del ransomware Ransom Knight (también conocido como Cyclops) y el troyano Remcos.
Esto indica que "la operación policial puede no haber afectado la infraestructura de entrega de spam de los operadores de QakBot, sino solo sus servidores de comando y control (C2)", afirmó el investigador de Cisco Talos, Guilherme Venere, en un nuevo informe publicado hoy.
La actividad ha sido atribuida con moderada confianza por parte de la firma de ciberseguridad a afiliados de QakBot. Hasta la fecha, no hay evidencia de que los actores de amenazas hayan reanudado la distribución del cargador de malware en sà después de la eliminación de la infraestructura.
QakBot, también conocido como QBot y Pinkslipbot, se originó como un troyano bancario basado en Windows en 2007 y posteriormente desarrolló capacidades para entregar cargas adicionales, incluido el ransomware. A finales de agosto de 2023, la notoria operación de malware sufrió un revés como parte de una operación denominada Duck Hunt.
La actividad más reciente, que comenzó justo antes de la eliminación, comienza con un archivo LNK malicioso probablemente distribuido a través de correos electrónicos de phishing. Cuando se ejecuta, este archivo LNK inicia la infección y, en última instancia, despliega el ransomware Ransom Knight, una reciente rebrandización del esquema de ransomware como servicio (RaaS) conocido como Cyclops.
También se ha observado que los archivos ZIP que contienen los archivos LNK incorporan archivos de complemento de Excel (.XLL) para propagar el troyano Remcos RAT, que facilita el acceso persistente a través de una puerta trasera en los puntos finales.
Algunos de los nombres de archivo utilizados en la campaña están escritos en italiano, lo que sugiere que los atacantes están dirigidos a usuarios en esa región.
"Aunque no hemos visto a los actores de amenazas distribuir Qakbot después de la eliminación de la infraestructura, evaluamos que el malware probablemente seguirá representando una amenaza significativa en el futuro", dijo Venere.
"Dado que los operadores siguen activos, pueden optar por reconstruir la infraestructura de Qakbot para reanudar completamente su actividad previa a la eliminación".
¿Quieres saber más?