Sophos publicó un análisis técnico profundo sobre la botnet Qakbot, explicando cómo es cada vez más avanzada y peligrosa para las organizaciones. El informe detalla el funcionamiento de una campaña reciente de Qakbot que muestra cómo la botnet se propaga a través de la vulneración mediante hilos de correo electrónico y recopila una amplia gama de información de las máquinas infectadas.
Luego, la botnet descarga una serie de módulos maliciosos adicionales en los equipos, que mejoran para generar mayor control en la computadora central de la red infectada. Este código de malware presenta un cifrado no convencional, que también se utiliza para ocultar el contenido de sus comunicaciones.
“Qakbot es una botnet modular multipropósito que se propaga por correo electrónico y que se ha vuelto cada vez más popular entre los atacantes como red de entrega de malware, igual que Trickbot y Emotet”, expresó Andrew Brandt, investigador principal de amenazas en Sophos.
Sophos encontró como Qakbot inserta mensajes maliciosos en las conversaciones de correo electrónico de los usuarios de la red. Esos mails incluyen una oración corta y un enlace para descargar un archivo zip que contiene una hoja de cálculo de Excel maliciosa. Se le pide al usuario que “habilite el contenido” para activar la cadena de infección.
Se recomienda que los usuarios se acerquen a los correos electrónicos inusuales o inesperados con precaución, incluso cuando parecen ser respuestas a conversaciones de correo electrónico existentes. En la campaña de Qakbot investigada por Sophos, una posible señal de alerta para los destinatarios fue el uso de frases en latín en las URL.
Fuente: Sophos
