Malware erradicado pelo FBI retorna em campanha de phishing!
O ressurgimento do malware QakBot foi observado recentemente, apesar dos esforços da Operação “Duck Hunt” durante os meses de verão para desmantelar a sua rede. Após a cessação das atividades do botnet, não houve campanha de distribuição subsequente associada ao QakBot. No entanto, na segunda-feira passada, um novo esquema de phishing reintroduziu o malware mais uma vez aos olhos do público.
QakBot é um malware que começou a circular em 2008 na forma de trojan bancário, visando serviços de credenciais de login oferecidos por bancos e instituições de crédito. O malware foi então protagonista de uma evolução ainda complexa, transformando-se em um serviço de distribuição de outros malwares e utilizado de forma especial para obter acesso inicial a redes visadas e depois liderar ataques subsequentes, com finalidades diversas.
Famoso pela sua prolificidade, estima-se que o Qakbot tenha sido implicado em nada menos que quarenta casos de ataques de ransomware que abrangem vários locais geográficos a nível mundial, resultando em perdas financeiras no valor de várias centenas de milhões de dólares americanos. Entre as ofensivas de ransomware mais prejudiciais que alavancaram o Qakbot estão variantes notáveis como Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e, mais recentemente, Black Basta e BlackCat/ALPHV.
Após a interrupção das operações de aplicação da lei em agosto de 2023, a Microsoft detectou campanhas de phishing Qakbot recentemente surgidas visando a indústria hoteleira através de uma abordagem de baixo volume. Os destinatários receberam um arquivo PDF fraudulento supostamente originário de um representante do IRS com a intenção de enganar os usuários para que divulgassem informações confidenciais ou realizassem ações não autorizadas.
Inteligência de ameaças da Microsoft (@MsftSecIntel) 16 de dezembro de 2023
A equipe de segurança da Microsoft detectou uma nova campanha de phishing em 11 de dezembro, que foi iniciada por um e-mail que alegava ser originário do Internal Revenue Service (IRS) dos Estados Unidos, também conhecido como autoridade fiscal dos EUA. Embora a escala desta operação pareça limitada, ela visa principalmente a indústria hoteleira.
A missiva eletrônica compreende um anexo PDF ilegível que pretende apresentar uma “lista de participantes”, mas ao clicar no hiperlink que a acompanha para resolver quaisquer problemas de visibilidade do documento, os usuários são involuntariamente direcionados para o download do arquivo MSI. Posteriormente, esta instalação aciona o início do QakBot no sistema do computador do usuário.
Após um exame mais aprofundado pela Microsoft, eles descobriram que a referida DLL foi criada em 11 de dezembro, coincidindo com a detecção do início da campanha de phishing. A análise do código Qakbot revela características novas, apresentando discrepâncias em relação a iterações previamente documentadas de operações anteriores. Além disso, a Microsoft identificou com sucesso os endereços de protocolo da Internet (IP) associados à infraestrutura de comando e controle utilizada nesta campanha.
Actualmente, não existe informação suficiente para avaliar com precisão a difusão e a extensão da iniciativa deste actor de ameaça emergente, nem podemos determinar a sua magnitude potencial em comparação com campanhas anteriores.
FBI desmonta botnet de mais de 700 mil computadores usados para campanhas de ransomware.
*️⃣ Link da fonte: