Возвращение QakBot: гостиничный бизнес стал первой жертвой обновлённого ботнета

Вредоносное ПО QakBot вновь используется в фишинговых кампаниях, несмотря на успешную операцию правоохранительных органов “Duck Hunt” по ликвидации инфраструктуры QakBot.

Отметим, что в конце августа правоохранительные органы США в рамках международной операции под названием “Duck Hunt” ликвидировали Qakbot – одну из самых продуктивных и долгоживущих ботнет-сетей. Ведомства семи стран не только отключили инфраструктуру Qakbot, но и удалили вредоносное ПО с зараженных устройств.

Тем не менее, после временного прекращения деятельности QakBot была запущена новая фишинговая кампания. Компания Microsoft сообщаето возрождении QakBot, который теперь распространяется через фишинг, маскирующийся под электронное письмо от сотрудника налоговой службы США (IRS).

11 декабря Microsoft зафиксировала новую волну атак, целью которых стала гостиничная индустрия. В рамках кампании злоумышленники рассылают электронные письма с прикрепленным файлом PDF, который представлен как список гостей. Однако при попытке скачать документ, пользователи невольно загружают файл MSI, который активирует вредоносный DLL Qakbot в памяти устройства.

Фишинговое электронное письмо с поддельным PDF-документом

DLL, созданный в день начала фишинговой кампании, использует уникальный код ‘tchk06’ и связывается с серверами управления по адресам 45.138.74.191:443 и 65.108.218.24:443. Исследователи в области кибербезопасности Пим Труэрбах и Томми Маджар подтверждают, что распространяемая версия Qakbot действительно новая, хотя и содержит лишь незначительные изменения. Труэрбах отметил, что новая версия DLL QakBot использует алгоритм AES для расшифровки строк вместо XOR, применявшегося в предыдущих версиях, и содержит несколько необычных ошибок, что указывает на продолжающуюся разработку.

Вспоминая об отключении инфраструктуры ботнета Emotet в 2021 году, Труэрбах предполагает, что злоумышленники могут столкнуться с трудностями в попытках возродить свои сети. Однако в контексте QakBot, еще слишком рано делать выводы о его будущем влиянии и масштабах.

В октябре команда Cisco Talos сообщила, что хакеры, стоявшие за ботнетом Qakbot, начали заниматься распространением вымогательского ПО. Несмотря на отключение инфраструктуры Qakbot, хакерам удалось сохранить свои инструменты распространения, которые используются для распространения вариантов программ-вымогателей Cyclops/Ransom Knight, а также трояна удалённого доступа (Remote Access Trojan, ” data-html=”true” data-original-title=”RAT” >RAT)

Основные функции Remcos включают удалённое управление компьютерами, сбор данных, мониторинг действий пользователя и управление файлами. Программа может собирать информацию о системе, такую как имя компьютера, тип системы и данные пользователя, включая учетные данные и личную информацию.

Несмотря на свои легитимные функции, Remcos также известен своим использованием в вредоносных кибератаках. Злоумышленники могут использовать его для незаконного доступа и контроля над компьютерами, шпионажа, а также для распространения вредоносного ПО. Это стало возможным из-за гибкости настроек Remcos и способности обходить некоторые меры антивирусной защиты.

В результате Remcos вызывает озабоченность в области кибербезопасности, так как его легитимные качества делают его привлекательным инструментом для киберпреступников.

Public Release.