Aunque en los últimos años, Microsoft ha realizado un trabajo encomiable al tomar medidas para combatir el malware y evitar sus estragos, incluida la reciente prohibición de ejecutar macros en archivos de Office descargados de Internet, parece que los atacantes siempre encuentran una forma en que el notorio malware Qbot ha evolucionado para seguir siendo efectivo contra los últimos táctica.
Según una investigación realizada por Black Lotus Labs, el malware Qbot, que inicialmente comenzó como un troyano bancario hace más de una década, ha adaptado rápidamente su red de distribución, métodos de implementación y comando y control (C2 ) servidor en respuesta a los cambios de Microsoft. Además, los actores de amenazas también han introducido nuevas técnicas para el acceso inicial en campañas de phishing, como el uso de archivos maliciosos de OneNote, la evasión de Mark of the Web y el contrabando de HTML.
“Qakbot ha demostrado resiliencia al emplear un enfoque ingenioso en la construcción y el desarrollo de su arquitectura… demuestra experiencia técnica mediante el empleo de varios métodos de acceso inicial y el mantenimiento de una arquitectura C2 residencial robusta pero evasiva”, se lee en el informe.
Mayor adaptabilidad
Además de los nuevos métodos de implementación, los operadores de Qbot han modificado cómo administran sus servidores C2, ya que en lugar de depender de servidores privados virtuales (VPS) alojados, los actores de amenazas ahora ocultan los servidores C2 dentro de servidores web comprometidos y hosts en espacios IP residenciales. Aunque este enfoque da como resultado una vida útil más corta para los servidores, los piratas informáticos pueden obtener rápidamente otros nuevos. Aproximadamente 90 nuevos servidores C2 se abren cada semana durante un ciclo de spam.
Además, convertir bots en servidores C2 es crucial para las operaciones de Qbot. Esto se debe a que más del 25% de estos servidores están activos durante un día y la mitad no sobrevive más allá de una semana. Por lo tanto, los bots convertidos juegan un papel vital en la reposición del suministro del servidor C2.
Para empeorar las cosas, el informe afirma que el malware persistirá como una amenaza importante en el futuro previsible.”Actualmente no hay señales de que Qakbot se esté ralentizando”.
