Malware Qakbot (também conhecido como: QakBot, Quakbot, Pinkslipbot) é um malware de roubo de informações prevalente e bem conhecido que foi descoberto em 2007, existente há mais de uma década e e continua a evoluir adotando novos vetores de entrega para evitar a detecção.
Historicamente visto como um Trojan e carregador bancário (mas não visando apenas organizações financeiras devido à sua modularidade), evoluiu desde sua concepção para ser mais adaptável e atualizado com novas técnicas e recursos – sendo recentemente conhecido como um precursor comum do comprometimento de Ransomware.
O FortiGuard Labs da Fortinet capturou um e-mail de phishing como parte de uma campanha de phishing espalhando uma nova variante do QakBot.
Mais recentemente, os agentes de ameaças transformaram suas técnicas para evitar a detecção usando extensões de arquivo ZIP, atraindo nomes de arquivos com formatos comuns e Excel (XLM) 4.0 para induzir as vítimas a baixar anexos maliciosos que instalam o Qakbot. Outras técnicas mais sutis estão sendo implantadas por agentes de ameaças para impedir a detecção automatizada e aumentar as chances de que seu ataque funcione, incluindo ofuscar código, alavancar vários URLs para entregar a carga, usar nomes de extensão de arquivo desconhecidos para entregar a carga,
Incorporado como anexos comumente nomeados, o Qakbot aproveita o arquivo ZIP com arquivos incorporados, como arquivos do Microsoft Office, LNK, Powershell e muito mais.
Foi realizada uma análise nesta campanha de phishing e na nova variante QakBot usando o e-mail capturado. O arquivo HTML anexado leva ao download e execução da nova variante do QakBot, ele executa ações no dispositivo da vítima e ele envia os dados coletados do dispositivo da vítima para seu servidor C2.
Plataformas afetadas: Microsoft Windows
Partes afetadas: Usuários do Microsoft Windows
Impacto: Controla o dispositivo da vítima e coleta informações confidenciais
Nível de gravidade: Crítico
O e-mail de phishing usado por hackers para atrair o destinatário para abrir o arquivo HTML anexado (ScannedDocs_1586212494.html). Este e-mail de phishing foi marcado como SPAM pelo FortiMail da Fortinet.
O arquivo HTML contém um pedaço de código javascript que é executado automaticamente assim que é aberto em um navegador da Web pelo destinatário. Ele decodifica uma string base64 mantida por uma variável local. Em seguida, ele chama uma função interna, navigator.msSaveOrOpenBlob(), para salvar os dados decodificados em base64 (um arquivo ZIP) em um arquivo local chamado “ScannedDocs_1586212494.zip”.
O atalho é disfarçado com um ícone do Microsoft Write para induzir a vítima a pensar que é um arquivo de texto seguro para que eles o abram. Quanto às suas propriedades, um grupo de comandos no campo de destino será executado pelo “cmd.exe”. Quando a vítima clica duas vezes no arquivo, os comandos são executados.
Ele executa principalmente “cURL” (Client URL) para baixar um arquivo da URL 194[.]36[.]191[.]227/%random%.dat para o arquivo local “%ProgramData %\Flop\Tres.dod”. cURL é uma ferramenta Linux popular, mas também faz parte do Windows como um programa padrão desde o Windows 10.
O malware geralmente executa o processo de esvaziamento para injetar código ou módulos maliciosos em outro processo. Ele faz isso para evitar ser detectado.
Dependendo da plataforma da máquina afetada (32 bits ou 64 bits) e do software antivírus instalado, o QakBot selecionará um processo do sistema de uma lista de processos como o de destino para realizar o esvaziamento do processo. Esta lista inclui OneDriveSetup.exe, explorer.exe, mobsync.exe, msra.exe e iexplore.exe para esta variante.
Os clientes da Fortinet já estão protegidos contra esse malware por meio dos serviços Web Filtering, AntiVirus, FortiMail, FortiClient e FortiEDR do FortiGuard, como segue:
O e-mail de phishing foi detectado como ” SPAM ” pelo serviço FortiMail.
O URL para baixar o QakBot e seus servidores C2 foi classificado como ” Sites maliciosos ” pelo serviço FortiGuard Web Filtering.
O arquivo HTML anexado ao e-mail de phishing e o módulo QakBot Loader baixado são detectados como ” JS/Agent.BLOB!tr ” e ” W32/Qbot.D!tr ” e são bloqueados pelo serviço FortiGuard Antivirus.
O FortiEDR detecta o arquivo envolvido como malicioso com base em seu comportamento.
Além dessas proteções, sugerimos que as organizações façam com que seus usuários finais também passem por treinamentos.
Fonte: Blog Fortinet