Qakbot parece estar online novamente após a destruição da rede na Operação Duck Hunt. A equipe do Microsoft Threat Intelligence relata sobre um novo, campanha de spam por e-mail de baixo volume que espalha o infame malware.
Retorno do QakBot – é real?
Em dezembro 16, 2023, a equipe do Microsoft Threat Intelligence compartilhou parte de suas observações sobre o X. Parece que uma nova campanha de spam por e-mail, começou em dezembro 11, espalha um bom e velho QakBot. Os hackers disfarçaram a mensagem como uma notificação do funcionário do IRS e anexaram um arquivo PDF a ela. A qualidade of a spam email inspira confiança, então as vítimas passam alegremente para os estágios seguintes de uma fraude.
O PDF anexo é, na verdade, um ponto de injeção de malware. Em vez de um documento esperado, a vítima vê uma página que relata um erro de visualização e pede para baixar e instalar o Adobe Acrobat. O link oferecido para baixar o Acrobat leva a a página de download que compartilha um arquivo .msi assinado. Este ficheiro, como você já deve ter adivinhado, é um corpo de malware.
Curiosidades descobertas por pesquisadores da Microsoft diga claramente que não é uma reutilização de uma amostra antiga do QakBot, mas uma geração completamente nova. Tanto o Nome da campanha, número da versão e carimbo de data/hora no ponto de amostra para o fato de que se trata de uma nova rodada de QakBot.
O que é QakBot?
Por mais de uma década, QakBot, também conhecido como QBot, permaneceu um perigo grave para usuários individuais e empresas. Surgiu em 2007, foi originalmente classificado como um worm/trojan bancário. Com o tempo, porém, recebeu extensas atualizações que o tornaram mais capaz no propósito inicial, e adicionou alguns novos recursos. Aquele em particular – funcionalidade do carregador – foi o que mudou drasticamente o futuro deste malware.
Desde que ganhou a capacidade de entregar cargas úteis, QakBot se tornou uma ferramenta adorada para acesso inicial e entrega de malware em numerosos ataques. A sua utilização nos ataques de hackers patrocinados pelo Estado russo também explica a sua sustentabilidade e impertinência. Mas todas as marcas foram feitas para serem quebradas – e o FBI mostrou exatamente isso no final de agosto 2023. Ao derrubar todo o botnet, exceto para nível 1 Servidores C2, a aplicação da lei bloqueou a atividade do QBot por 4 meses. Até agora, parece.
Como se proteger contra QakBot?
Como mostrei acima, a principal forma de propagação desse malware é o spam de e-mail. Era a principal opção antes da remoção e permanece atualizada. Há muitos conselhos sobre como evitar e-mails maliciosos, mas deixe-me compartilhar alguns específicos para spam direcionado que o QakBot geralmente usa.
Evite arquivos que você não esperava receber. A principal coisa em que os hackers confiam é a falta de atenção das pessoas aos detalhes. Você espera que alguém do IRS entre em contato com você com as “informações do cliente”? Você está esperando que um colega lhe envie uma mesa estranha from the wrong email address? Questione-se cada vez que enfrentar algo assim – e as chances de infecção diminuirão drasticamente.
Nunca interaja com conteúdos de arquivos desconhecidos. Esta é a continuação de um conselho anterior, embora funcione com arquivos de qualquer fonte. Arquivos do MS Office que oferecem permissão para macros, PDFs com links que levam ao download de malware – há muitas opções. Quando você não tem certeza se o arquivo é benigno ou não, evite clicar em qualquer conteúdo interativo – tanto nele quanto relacionado a ele.
Empregue soluções de proteção de e-mail. O uso extensivo de mensagens de e-mail para propagação de malware deu origem a toda uma classe de soluções de segurança, especializados em proteger caixas de entrada de e-mail. Verificando as propriedades da mensagem, anexos, ou até mesmo corpo do texto, eles concluem e dizem se é seguro trabalhar com o arquivo.
Use um software antimalware confiável. Esta solução é reativa, ao contrário dos proativos que mencionei acima, embora ainda deva servir como goleiro. Quando todos os outros sistemas falham, algo deveria proteger você. QakBot não é mágico, portanto, um mecanismo antimalware bem executado deve detectá-lo imediatamente. Certifique-se de que GridinSoft Anti-Malware é aquele em quem você pode confiar nesta tarefa.
