O QakBot Reaparece para Roubar Credenciais de Logon Bancário para Hackers Astutos
Embora uma das principais funções do QakBot seja a extração de credenciais bancárias, os dados roubados durante alguns dos ataques de alto nível pelos quais foi responsável mostra que essa família de malware em particular é muito mais do que um simples Trojan financeiro. De fato, causou um alvoroço ao violar o sistema de uma agência de desemprego dos EUA em 2011 e, depois de comprometer algumas outras organizações nos anos seguintes, desapareceu repentinamente da face da terra. Alguns pesquisadores pensaram que o mundo finalmente se livrou do QakBot. Eles estavam errados.
A Equipe de Pesquisa X-Force da IBM disse na semana passada que eles viram uma nova versão do QakBot em ação. Como sempre, o Trojan tem como alvo organizações empresariais, com a maioria das vítimas trabalhando nos setores financeiro, de saúde e tecnologia. Existem algumas atualizações, e os pesquisadores também notaram um efeito colateral desagradável em toda a operação.
O QakBot pode chegar em um computador host por meio de um kit de exploração ou por anexos de email maliciosos. Obviamente, primeiro vem o conta-gotas que não age imediatamente. Na tentativa de evitar caixas de areia que possam sinalizá-las como suspeitas, ela fica ociosa por 10 a 15 minutos. Depois disso, ele gera um novo processo explorer.exe e injeta sua DLL nele. Ao corromper o arquivo original, o conta-gotas do QakBot tenta impedir novas análises. Em seguida, o processo explorer.exe recém-lançado baixa a carga útil do QakBot, que vem na forma de uma grande quantidade de hexadecimal ASCII e é copiada em vários locais do sistema. Em seguida, o Trojan começa a se tornar persistente.
Primeiro, é criada uma chave de execução do registro que garante que, sempre que o Windows for inicializado, o malware seja iniciado. Por uma boa medida, o QakBot configura não uma, mas duas tarefas agendadas com as quais garante que, se alguém a interromper ou excluir, o binário será baixado e reexecutado. Com a persistência tratada, é um dos recursos de assinatura do QakBot.
Após estabelecer uma conexão com o servidor de Comando e Controle (C&C), o Trojan recebe o comando "13" que aciona seu mecanismo de movimento lateral. Primeiro, ele tenta se conectar ao Controlador de Domínio (o servidor que hospeda um banco de dados que contém todas as contas em uma rede Windows) e raspa os nomes de usuário associados ao restante dos pontos de extremidade. Se for bem-sucedido, o QakBot combina os nomes de usuário com algumas senhas usadas com frequência e tenta violar computadores vizinhos. Se não conseguir obter os nomes de usuário no controlador de domínio, ele simplesmente tenta usar o dicionário de credenciais de login codificadas no malware. É aqui que entra o efeito colateral desagradável que mencionamos anteriormente.
Muitas tentativas malsucedidas de logon podem resultar no Controlador de Domínio bloqueando as contas e negando-lhes acesso aos recursos de rede. Efetivamente, o trabalho na organização da vítima pode ser interrompido, o que os pesquisadores da IBM observaram enquanto investigavam alguns ataques recentes do QakBot. Isso não torna o malware muito furtivo, e seus autores provavelmente farão algum esforço para melhorar a funcionalidade do worm nas próximas versões.
Independentemente de quantos PCs infectar em uma rede, o QakBot liberará suas injeções na web que determinam quando a vítima está visitando um sistema bancário on-line e roubam informações confidenciais. Diferentemente de outras ameaças desse tipo, o QakBot baixa as injeções de um site controlado pelos hackers, em vez de extraí-las do seu próprio binário. Por fim, o objetivo dos atores de ameaças é obter acesso às contas bancárias das vítimas e drená-las. Como já mencionamos, porém, isso está longe de ser o único objetivo do QakBot.
O Trojan vem com componentes que registram pressionamentos de tecla, roubam cookies e credenciais para serviços POP3 e FTP, além de nomes de usuário e senhas armazenados pelo navegador. O QakBot pode filtrar uma série de outras informações sobre o sistema, incluindo privilégios de usuário, versão do SO, software instalado etc.
Apesar de estar por aí há oito anos, o QakBot ainda é um item extremamente sério e a campanha atual mostra que seus autores não têm intenção de retirá-lo. Pelo contrário, mostra que eles querem torná-lo ainda melhor.