Ciberseguridad 360 | Hackers vinculados al malware QakBot siguen activos

A pesar de la interrupci�n de su infraestructura, los actores de la amenaza detr�s del malware QakBot han estado vinculados a una campa�a de phishing en curso desde principios de agosto de 2023 que llev� a la entrega del ransomware Ransom Knight (tambi�n conocido como Cyclops) y Remcos RAT.

Esto indica que "la operaci�n de las fuerzas de seguridad puede no haber afectado a la infraestructura de distribuci�n de spam de los operadores de Qakbot, sino s�lo a sus servidores de mando y control (C2)", afirma Guilherme Venere, investigador de Cisco Talos.

La empresa de ciberseguridad ha atribuido la actividad a los afiliados de QakBot con una confianza moderada. No hay pruebas hasta la fecha de que los actores de la amenaza hayan reanudado la distribuci�n del cargador de malware tras el desmantelamiento de la infraestructura.

QakBot, tambi�n llamado QBot y Pinkslipbot, se origin� como un troyano bancario basado en Windows en 2007 y posteriormente desarroll� capacidades para entregar cargas �tiles adicionales, incluido ransomware. A finales de agosto de 2023, la conocida operaci�n de malware recibi� un duro golpe en el marco de una operaci�n denominada Duck Hunt.

La �ltima actividad, que comenz� justo antes del desmantelamiento, comienza con un archivo LNK malicioso probablemente distribuido a trav�s de correos electr�nicos de phishing que, cuando se ejecuta, detona la infecci�n y, en �ltima instancia, despliega el ransomware Ransom Knight, un reciente cambio de marca del esquema Cyclops ransomware-as-a-service (RaaS).

Tambi�n se ha observado que los archivos ZIP que contienen los archivos LNK incorporan archivos de complemento de Excel (.XLL) para propagar la RAT Remcos, que facilita el acceso persistente de puerta trasera a los puntos finales.

Algunos de los nombres de archivo utilizados en la campa�a est�n escritos en italiano, lo que sugiere que los atacantes se dirigen a usuarios de esa regi�n.

"Aunque no hemos visto a los actores de la amenaza distribuyendo Qakbot tras el desmantelamiento de la infraestructura, creemos que es probable que el malware siga representando una amenaza significativa en el futuro", dijo Venere.

"Dado que los operadores siguen activos, pueden optar por reconstruir la infraestructura de Qakbot para reanudar por completo su actividad previa al ataque".

Cisco Talos dijo a The Hacker News que las cadenas de ataque tambi�n se est�n utilizando para distribuir otro malware como DarkGate, MetaStealer y RedLine Stealer.

"Identificar el verdadero alcance es dif�cil, pero como ya hemos visto, la red de distribuci�n de QakBot es muy eficaz y tiene la capacidad de impulsar campa�as a gran escala", dijo Venere a la publicaci�n.

"Hemos observado correos electr�nicos de phishing que distribuyen este malware a v�ctimas italianas, alemanas e inglesas, lo que demuestra que la campa�a est� muy extendida".

Fuente: thehackernews