EUA desmantelam botnet QakBot que afeta 700.000 computadores

De acordo com o The Hacker News , o QakBot é uma notória cepa de malware do Windows que, estima-se, comprometeu mais de 700.000 computadores no mundo todo e facilita fraudes financeiras, bem como ransomware.

O Departamento de Justiça dos EUA (DoJ) disse que o malware está sendo removido dos computadores das vítimas, evitando que cause mais danos, e as autoridades apreenderam mais de US$ 8,6 milhões em criptomoedas ilícitas.

A operação transfronteiriça, que envolveu França, Alemanha, Letônia, Romênia, Holanda, Reino Unido e EUA, com suporte técnico da empresa de segurança cibernética Zscaler, foi a maior repressão liderada pelos EUA à infraestrutura de botnet usada por criminosos cibernéticos, embora nenhuma prisão tenha sido anunciada.

O QakBot, também conhecido como QBot e Pinkslipbot, começou a operar como um trojan bancário em 2007, antes de passar a servir como um centro de distribuição de malware em máquinas infectadas, incluindo ransomware. Alguns dos ransomwares do QakBot incluem Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta. Acredita-se que os operadores do QakBot tenham recebido cerca de US$ 58 milhões em pagamentos de resgate de vítimas entre outubro de 2021 e abril de 2023.

Frequentemente distribuído por e-mails de phishing, o malware modular é equipado com recursos de execução de comandos e coleta de informações. O QakBot tem sido atualizado continuamente ao longo de sua existência. O Departamento de Justiça afirmou que os computadores infectados com o malware faziam parte de uma botnet, o que significa que os criminosos podiam controlar remotamente todos os computadores infectados de forma coordenada.

De acordo com os autos, a operação acessou a infraestrutura do QakBot, o que lhe permitiu redirecionar o tráfego da botnet através de servidores controlados pelo FBI, com o objetivo final de desabilitar a cadeia de suprimentos dos criminosos. Os servidores instruíram os computadores comprometidos a baixar um desinstalador, projetado para remover máquinas da botnet QakBot, impedindo efetivamente a distribuição de componentes adicionais de malware.

O QakBot demonstrou sofisticação crescente ao longo do tempo, mudando rapidamente de tática para se adaptar a novas medidas de segurança. Depois que a Microsoft desativou as macros por padrão em todos os aplicativos do Office, o malware começou a usar arquivos do OneNote como vetor de infecção no início deste ano.

A sofisticação e a adaptabilidade também residem na utilização de múltiplos formatos de arquivo, como PDF, HTML e ZIP, como armas na cadeia de ataque do QakBot. A maioria dos servidores de comando e controle do malware está localizada nos EUA, Reino Unido, Índia, Canadá e França, enquanto acredita-se que a infraestrutura de backend esteja localizada na Rússia.

O QakBot, assim como o Emotet e o IcedID, utiliza um sistema de servidores de três camadas para controlar e se comunicar com o malware instalado nos computadores infectados. O objetivo principal dos servidores primário e secundário é retransmitir comunicações criptografadas entre os computadores infectados e o servidor de terceira camada que controla a botnet.

Em meados de junho de 2023, 853 servidores de nível 1 foram identificados em 63 países, com servidores de nível 2 atuando como proxies para mascarar o servidor de controle principal. Dados coletados pelo Abuse.ch mostram que todos os servidores QakBot estão offline.

De acordo com a HP Wolf Security, o QakBot também foi uma das famílias de malware mais ativas no segundo trimestre de 2023, com 18 cadeias de ataque e 56 campanhas. Isso demonstra a tendência de grupos criminosos tentarem explorar rapidamente vulnerabilidades nas defesas de rede para obter lucros ilícitos.