Embora nos últimos anos a Microsoft tenha feito um trabalho louvável ao tomar medidas para combater o malware e evitar sua destruição, incluindo a recente proibição da execução de macros em arquivos do Office baixados da Internet, parece que os agentes de ameaças sempre encontram uma maneira como o notório malware Qbot agora evoluiu para permanecer eficaz contra os mais recentes da Microsoft tática.
De acordo com a pesquisa realizada pelo Black Lotus Labs, o malware Qbot, que inicialmente começou como um trojan bancário há mais de uma década, adaptou rapidamente sua rede de distribuição, métodos de implantação e comando e controle (C2 ) em resposta às alterações da Microsoft. Além disso, os agentes de ameaças também introduziram novas técnicas para acesso inicial em campanhas de phishing, como o uso de arquivos maliciosos do OneNote, evasão de marca da Web e contrabando de HTML.
“O Qakbot demonstrou resiliência ao empregar uma abordagem engenhosa na construção e desenvolvimento de sua arquitetura..ele demonstra conhecimento técnico ao empregar vários métodos de acesso inicial e manter uma arquitetura C2 residencial robusta, porém evasiva”, diz o relatório.
Maior adaptabilidade
Além dos novos métodos de implantação, os operadores Qbot modificaram como eles gerenciam seus servidores C2, pois, em vez de depender de servidores privados virtuais (VPS) hospedados, os agentes de ameaças agora ocultam os servidores C2 em servidores da Web e hosts comprometidos em espaços IP residenciais. Embora essa abordagem resulte em uma vida útil mais curta para os servidores, os hackers podem obter novos rapidamente. Aproximadamente 90 novos servidores C2 são ativados todas as semanas durante um ciclo de spam.
Além disso, a conversão de bots em servidores C2 é crucial para as operações do Qbot. Isso ocorre porque mais de 25% desses servidores ficam ativos por um dia e metade não sobrevive além de uma semana. Portanto, os bots convertidos desempenham um papel vital na reposição do suprimento do servidor C2.
Para piorar a situação, o relatório afirma que o malware persistirá como uma ameaça significativa no futuro previsível. “Atualmente, não há sinais de desaceleração do Qakbot.”