Sophos publicó un análisis técnico sobre la botnet Qakbot. El informe detalla el funcionamiento de una campaña reciente de Qakbot que muestra cómo se propaga mediante hilos de correo electrónico y recopila una amplia gama de información de las máquinas infectadas, incluidas las cuentas y permisos de usuario configurados, software instalado, servicios en ejecución y más.
“Qakbot es una botnet modular multipropósito que se propaga por correo electrónico y que se ha vuelto cada vez más popular entre los atacantes como red de entrega de malware, igual que Trickbot y Emotet”, dijo Andrew Brandt, investigador principal de amenazas en Sophos. Asimismo, el investigador afirma que toda aparición de una botnet precede a un ataque de ransomware.
¿Cómo opera Qakbot?
Sophos encontró cómo Qakbot inserta mensajes maliciosos en las conversaciones de correo electrónico de los usuarios de la red. Esos correos incluyen una oración corta y un enlace para descargar un archivo zip que contiene una hoja de cálculo de Excel maliciosa.
Se le pide al usuario que habilite el contenido para activar la cadena de infección. Una vez que la botnet infectó un nuevo objetivo, realiza un análisis detallado del perfil, compartir los datos con su servidor de comando y control, para luego descargar módulos maliciosos adicionales.
En el caso hallado por Sophos, la botnet Qakbot descargó al menos tres cargas maliciosas diferentes en forma de bibliotecas de enlaces dinámicos (DLL). Según Sophos, estas cargas útiles de DLL proporcionan a la botnet una gama más amplia de capacidades.
Las cargas útiles se inyectaron en los navegadores y contenían lo siguiente:
- Un módulo que inyecta código para robar contraseñas en páginas web.
- Un módulo que realiza escaneos de red, recopilando datos sobre otras computadoras cercanas.
- Un módulo que identifica las direcciones de una docena de servidores de correo electrónico SMTP para luego conectarse a cada uno de ellos y enviar spam.
- Es preciso mencionar que el código de malware de Qakbot presenta un cifrado no convencional, que también utiliza para ocultar el contenido de sus comunicaciones.
¿Qué recomienda Sophos?
Sophos recomienda que los usuarios se acerquen a los correos electrónicos inusuales o inesperados con precaución, incluso cuando parecen ser respuestas a conversaciones de correo electrónico existentes. En la campaña de Qakbot investigada por Sophos, una posible señal de alerta para los destinatarios fue el uso de frases en latín en las URL.
Los equipos de seguridad deben verificar que las protecciones de comportamiento proporcionadas por su proveedor de seguridad alerten a los administradores si un usuario infectado intenta conectarse a una dirección o dominio conocido de comando y control.