Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Aug 13, 2023
Como o FBI destruiu o malware Qakbot de PCs Windows infectados
O FBI anunciou hoje a interrupção da botnet Qakbot numa operação internacional de aplicação da lei que não só apreendeu infra-estruturas, mas também desinstalou o malware dos dispositivos infectados.
O FBI anunciou hoje a interrupção da botnet Qakbot numa operação internacional de aplicação da lei que não só apreendeu infra-estruturas, mas também desinstalou o malware dos dispositivos infectados.
Durante a operação policial do fim de semana passado, Operação Duck Hunt, o FBI redirecionou as comunicações de rede da botnet para servidores sob seu controle, permitindo que os agentes identificassem aproximadamente 700.000 dispositivos infectados (200.000 localizados nos EUA).
Depois de assumir o controle da botnet, o FBI desenvolveu um método para desinstalar o malware dos computadores das vítimas, desmantelando efetivamente a infraestrutura da botnet, desde os PCs das vítimas até os computadores dos próprios operadores de malware.
Antes de aprendermos como o FBI desinstalou o Qakbot dos computadores, é essencial entender como o malware foi distribuído, que comportamento malicioso ele executou e quem o utilizou.
Qakbot, também conhecido como Qbot e Pinkslipbot, começou como um trojan bancário em 2008, usado para roubar credenciais bancárias, cookies de sites e cartões de crédito para conduzir fraudes financeiras.
No entanto, com o tempo, o malware evoluiu para um serviço de entrega de malware utilizado por outros agentes de ameaças para obter acesso inicial às redes para a realização de ataques de ransomware, roubo de dados e outras atividades cibernéticas maliciosas.
O Qakbot é distribuído por meio de campanhas de phishing que utilizam uma variedade de iscas, incluindo ataques de e-mail em cadeia de resposta, que ocorre quando os agentes da ameaça usam um tópico de e-mail roubado e depois respondem a ele com sua própria mensagem e um documento malicioso anexado.
Esses e-mails geralmente incluem documentos maliciosos como anexos ou links para baixar arquivos maliciosos que instalam o malware Qakbot no dispositivo do usuário.
Esses documentos mudam entre campanhas de phishing e variam de documentos do Word ou Excel com macros maliciosas, arquivos do OneNote com arquivos incorporados, até anexos ISO com executáveis e atalhos do Windows. Alguns deles também foram projetados para explorar vulnerabilidades de dia zero no Windows.
Independentemente de como o malware é distribuído, uma vez instalado em um computador, o Qakbot será injetado na memória de processos legítimos do Windows, como wermgr.exe ou AtBroker.exe, para tentar escapar da detecção pelo software de segurança.
Por exemplo, a imagem abaixo mostra o malware Qbot injetado na memória do processo wermgr.exe legítimo.
Depois que o malware é lançado em um dispositivo, ele procura informações a serem roubadas, incluindo os e-mails da vítima, para uso em futuras campanhas de phishing por e-mail.
No entanto, os operadores do Qakbot também fizeram parceria com outros atores de ameaças para facilitar o crime cibernético, como fornecer às gangues de ransomware acesso inicial às redes corporativas.
No passado, Qakbot fez parceria com várias operações de ransomware, incluindo Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e, mais recentemente, Black Basta e BlackCat/ALPHV.
O FBI afirma que entre outubro de 2021 e abril de 2023, os operadores do Qakbot ganharam aproximadamente US$ 58 milhões com pagamentos de ransomware.
Como parte do anúncio de hoje, o FBI afirma que conseguiu desmantelar a botnet confiscando a infraestrutura do servidor do invasor e criando uma ferramenta especial de remoção que desinstalou o malware Qakbot dos dispositivos infectados.
De acordo com um pedido de mandado de apreensão divulgado pelo Departamento de Justiça, o FBI conseguiu obter acesso aos computadores administrativos do Qakbot, o que ajudou as autoridades a mapear a infraestrutura de servidores usada na operação da botnet.
Com base em sua investigação, o FBI determinou que o botnet Qakbot utilizava servidores de comando e controle Tier-1, Tier-2 e Tier-3, que são usados para emitir comandos para executar, instalar atualizações de malware e baixar cargas adicionais de parceiros para dispositivos. .
Os servidores Tier-1 são dispositivos infectados com um módulo “supernode” instalado que atua como parte da infraestrutura de comando e controle da botnet, com algumas das vítimas localizadas nos EUA. Os servidores Tier-2 também são servidores de comando e controle, mas os operadores do Qakbot os operam, geralmente em servidores alugados fora dos EUA.