Qakbot botneti bu yaz kesintiye uğradı, ancak siber suçlular kötü amaçlı yazılımdan vazgeçmeye hazır değil: Microsoft’un tehdit analistleri, bunu konaklama endüstrisindeki hedeflere ulaştırmaya çalışan yeni bir kimlik avı kampanyası tespit etti.
Qakbot ve (geçici?) çöküşü
Qbot olarak da bilinen Qakbot, bankacılık kötü amaçlı yazılımı olarak başladı ancak o zamandan beri kötü amaçlı yazılım ve fidye yazılımı dağıtımı için çok yönlü bir araca dönüştü.
Uzun vadeli hayatta kalması ve başarısı, operatörlerinin araçlarını ve taktiklerini periyodik olarak değiştirmelerine, değiştirilmiş stratejilerle geri dönmeden önce spam saldırılarını uzun süre duraklatmalarına bağlanıyor.
Ağustos ayında ABD Adalet Bakanlığı (DOJ), 52 sunucuyu ele geçirerek ve kötü amaçlı yazılım yükleyiciyi dünya çapında 700.000’den fazla kurban bilgisayardan kaldırarak Qakbot botnet’ini başarıyla bozdu. “Ördek Avı” adı verilen operasyonda Fransa, Almanya, Hollanda, İngiltere, Romanya, Letonya gibi ülkelerle uluslararası iş birliği yapıldı.
O dönemde Adalet Bakanlığı, Qakbot siber suç örgütünün cüzdanlarından 8,6 milyon doların üzerinde kripto para birimi ele geçirdi ve ele geçirilen hesap kimlik bilgilerini tespit ederken, FBI da Qakbot altyapısına erişim sağlayarak botnet operasyonuyla ilgili dosyaları, fidye yazılımı kurbanlarını ve fidye yazılımıyla ilgili ayrıntıları ortaya çıkardı. saldırılar.
Ancak kesinti, yok oluş anlamına gelmiyor ve Qakbot dağıtım çabalarının yeniden canlanması bekleniyordu.
Yeni bir Qakbot kimlik avı kampanyası
Microsoft Tehdit İstihbaratı ekibi yakın zamanda, yayından kaldırılmasından bu yana ilk kez yeni bir Qakbot kimlik avı kampanyası tespit etti.
İlk olarak 11 Aralık’ta gözlemlenen kampanya küçüktü ve e-posta yoluyla konaklama sektörünü hedef alıyordu. E-posta, IRS çalışanı gibi davranan bir gönderenden geldi ve adlı bir PDF içeriyordu. MisafirListVegas.pdf.
Qakbot kimlik avı e-postası. (Kaynak: Microsoft Tehdit İstihbaratı)
“PDF, dijital olarak imzalanmış bir Windows Installer’ı indiren bir URL içeriyordu (.msi). Analistler, MSI’nın çalıştırılması, Qakbot’un gömülü bir DLL’nin dışa aktarma ‘hvsi’ yürütmesi kullanılarak çağrılmasına yol açtı.” kayıt edilmiş.
DLL yükünün kampanyanın başladığı gün oluşturulduğunu ve savunucuların kötü amaçlı yazılımın çalışmasını önlemek için engelleyebileceği iki IP adresi sağlandığını eklediler.