El desarrollador del malware Qakbot, o alguien con acceso al código fuente, parece estar experimentando con nuevas versiones, ya que se han observado nuevas muestras en campañas de correo electrónico desde mediados de diciembre.
Una de las variantes observadas utiliza en Windows un instalador falso de un producto de Adobe para engañar al usuario para que implemente el malware.
También llamado QBot, el malware ha servido durante muchos años como cargador de varias cargas maliciosas, incluido ransowmare, entregadas a las víctimas principalmente por correo electrónico.
Hasta su caída en agosto pasado , QBot había infectado más de 700.000 sistemas y en sólo 18 meses causó daños financieros estimados en más de 58 millones de dólares.
Con el nombre en clave Duck Hunt, la operación no implicó ningún arresto, y muchos investigadores de seguridad creían que los desarrolladores de Qakbot reconstruirían su infraestructura y reiniciarían las campañas de distribución.
El año pasado, Cisco Talos informó sobre una campaña de Qakbot que había comenzado antes del derribo y todavía estaba activa a principios de octubre. Los investigadores creen que esto fue posible porque las autoridades sólo interrumpieron los servidores de comando y control del malware, no la infraestructura de entrega de spam.
En diciembre de 2023, Microsoft observó una campaña de phishing de QBot haciéndose pasar por el IRS , lo que confirma los temores sobre el regreso del malware.
El grupo de trabajo conjunto de respuesta avanzada a amenazas de Sophos, Sophos X-Ops, notó recientemente una nueva actividad de Qbot, con hasta 10 nuevas compilaciones de malware surgiendo desde mediados de diciembre.
Los nuevos avances relacionados con Qbot también han sido notados por los investigadores de la empresa de seguridad en la nube Zscaler, que publicó a finales de enero un informe técnico sobre el malware y su evolución desde 2008.
Nuevas Variantes de QBot
Los analistas de Sophos X-Ops realizaron ingeniería inversa en nuevas muestras de Qbot, notando pequeños incrementos en el número de compilación, lo que indica que los desarrolladores están probando y refinando los binarios.
Las muestras de diciembre y enero vinieron como un ejecutable del instalador de software de Microsoft (.MSI) que eliminaba un binario DLL usando un archivo .CAB (Windows Cabinet).
Este método difiere de las versiones anteriores que inyectaban código en procesos benignos de Windows ( AtBroker.exe , backgroundTaskHost.exe , dxdiag.exe ) para evadir la detección.
Las nuevas variantes de Qakbot utilizan técnicas de ofuscación mejoradas, incluido el cifrado avanzado para ocultar cadenas y comunicación de comando y control (C2).
Específicamente, el malware utiliza cifrado AES-256 además del método XOR que se ve en muestras más antiguas.
El malware busca software de protección de endpoints y reintroduce comprobaciones para entornos virtualizados, intentando evadir la detección ingresando en un bucle infinito si se encuentra en una máquina virtual.
Además, Qakbot presenta una ventana emergente engañosa que sugiere que Adobe Setup se está ejecutando en el sistema, para engañar a los usuarios con mensajes de instalación falsos que inician el malware independientemente de en qué se haga clic.
Los investigadores de Sophos dicen que al monitorear de cerca el desarrollo de QBot, pueden actualizar sus reglas de detección y compartir información crucial con otros proveedores de seguridad.
Aunque ha surgido una pequeña cantidad de muestras después de que la infraestructura C2 de Qbot fuera desactivada el año pasado, los investigadores creen “que cualquier actividad de los actores de amenazas para recuperarla merece vigilancia y escrutinio”.