Pesquisa da Sophos revela que o botnet Qakbot está cada vez mais avançado e perigoso

A Sophos, empresa líder global em cibersegurança de próxima geração, publicou um novo artigo que traz um mergulho técnico no botnet Qakbot, explicando como ele tem se tornado cada vez mais avançado e perigoso para as organizações. No artigo, intitulado “Qakbot injects itself into the middle of your conversations", os pesquisadores da Sophos detalham uma campanha recente do Qakbot que mostra como ele se espalha por meio do sequestro de threads de e-mail e coleta uma ampla gama de informações de perfil de máquinas recém-infectadas, incluindo todas as contas de usuário e permissões configuradas, softwares instalados, serviços em execução e muito mais. De acordo com a Sophos, o botnet então baixa uma série de módulos maliciosos adicionais que melhoram sua funcionalidade principal.

O código do malware do Qakbot apresenta uma criptografia não convencional, que também atua para ocultar o conteúdo de suas comunicações. A Sophos descriptografou os módulos maliciosos e decodificou o sistema de comando e controle do botnet para interpretar como ele recebe instruções.

“O Qakbot é um botnet modular e multifuncional distribuído por e-mail que se tornou cada vez mais popular entre os cibercriminosos como uma rede de entrega de malwares, como o Trickbot e o Emotet”, explica Andrew Brandt, principal pesquisador de ameaças da Sophos. “A análise profunda da Sophos sobre o Qakbot revela a captura de dados detalhados do perfil da vítima, além da capacidade de processar sequências complexas de comandos e uma série de cargas úteis para estender a funcionalidade de seu mecanismo principal. Os dias de pensar em bots de ‘commodity’ como meramente irritantes já se foram".

“As equipes de segurança precisam levar a sério a presença de infecções do Qakbot em sua rede e investigar e remover todos os vestígios. Essas ameaças são um conhecido precursor de ataques de ransomware. Isso não ocorre simplesmente porque os botnets podem entregar um ransomware, mas porque os desenvolvedores vendem ou alugam seu acesso a redes violadas. Por exemplo, a Sophos encontrou amostras do Qakbot que entregam beacons Cobalt Strike diretamente a um host infectado. Uma vez que os operadores tenham usado o computador infectado, eles podem transferir, alugar ou vender o acesso a esses beacons para clientes pagantes”, completa o executivo.

Cadeia e cargas de infecção do Qakbot

Na campanha analisada pela Sophos, o botnet Qakbot inseriu mensagens em conversas de e-mail existentes. Os e-mails inseridos incluem uma frase curta e um link para baixar um arquivo zip contendo uma planilha de Excel maliciosa. O usuário foi solicitado a “habilitar conteúdo” para ativar a cadeia de infecção. Depois que o botnet infectou um novo alvo, ele executou uma varredura de perfil detalhada, compartilhando os dados com seu servidor de comando, além de controlar e baixar módulos maliciosos adicionais.

O Qakbot baixou pelo menos três cargas úteis maliciosas diferentes em formato de bibliotecas de links dinâmicos (DLL). De acordo com a Sophos, essas cargas de DLL fornecem ao botnet uma gama mais ampla de recursos.

As cargas úteis foram injetadas nos navegadores e continham o seguinte:

Um módulo que injeta um código de roubo de senhas em páginas da web;
Um módulo que realiza varreduras de rede, coletando dados sobre outras máquinas próximas ao computador infectado;
Um módulo que identificava os endereços de uma dúzia de servidores de e-mail SMTP (Simple Mail Transfer Protocol) e depois tentava se conectar a cada um deles para enviar spam.

Conselhos de segurança da Sophos

A Sophos recomenda que os usuários abram e-mails incomuns ou inesperados com cautela, mesmo quando as mensagens parecem ser respostas a tópicos de e-mail já existentes. Na campanha do Qakbot investigada pela Sophos, uma possível bandeira vermelha para os destinatários foi o uso de frases em latim em URLs.

As equipes de segurança devem verificar se as proteções fornecidas por suas tecnologias impedem que as infecções do Qakbot se instalem. Os dispositivos de rede devem também alertar os administradores se um usuário infectado tentar se conectar a um endereço ou domínio de comando e controle conhecido.

Os produtos de endpoint da Sophos, como o Intercept X, protegem os usuários detectando as ações e comportamentos dos cibercriminosos.

Para mais informações, leia “Qakbot injects itself into the middle of your conversations" no SophosLabs Uncut.

Informações adicionais

Mais detalhes sobre o cenário de ameaças cibernéticas em evolução podem ser encontrados no Relatório de Ameaças Sophos 2022;
Táticas, técnicas e procedimentos (TTPs) e muito mais para diferentes tipos de ameaças estão disponíveis no SophosLabs Uncut, que fornece a mais recente inteligência de ameaças da Sophos;
Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança estão disponíveis no Sophos News SecOps;
Saiba mais sobre o serviço de Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, sete dias por semana;
As quatro principais dicas para responder a um incidente de segurança do Sophos Rapid Response e do Managed Threat Response Team;
Leia as últimas atualizações de segurança no premiado site de notícias Sophos Naked Security e no Sophos News.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido. Mais informações estão disponíveis em www.sophos.com.