Malware Qakbot

O que é o Qakbot?

O Qakbot (também conhecido como Qbot ou Pinkslipbot) é um malware modular de segundo estágio com recursos de backdoor, inicialmente concebido como um ladrão de credenciais, e foi apontado pela CISA como uma das principais linhagens de malware de 2021. Classificado como trojan bancário, worm e trojan de acesso remoto (RAT), o Qakbot rouba dados confidenciais e tenta se autopropagar para outros sistemas na rede. O Qakbot também oferece recursos de execução remota de código (RCE), permitindo que os invasores realizem ataques manuais para atingir objetivos secundários, como a varredura da rede comprometida ou a injeção de ransomware. 

O Qakbot tem sido usado por gangues de ransomware de ponta, como REvil, ProLock e Lockbit, para distribuir várias linhagens de ransomware de caça de grandes jogos. Os vários módulos do Qakbot também permitem o direcionamento automatizado de dados financeiros, e-mails armazenados localmente, senhas do sistema ou hashes de senhas, senhas de sites e cookies de caches de navegadores da Web. Eles também podem registrar as teclas digitadas para roubar qualquer credencial digitada.

Descoberto em 2008, o Qakbot passou por atualizações constantes durante sua vida útil, e seu uso flutua com seu ciclo de atualização. Depois que as versões atualizadas foram disponibilizadas em 2015, o Qakbot ganhou novo impulso; em 2020, os pesquisadores de ameaças observaram que o lançamento de uma nova cepa do Qakbot resultou em um aumento de 465% em sua participação anual nos ataques cibernéticos. Em 2021, o Qakbot foi utilizado na proeminente violação cibernética da JBS, que interrompeu suas instalações de produção de carne e forçou o pagamento de um resgate de US$ 11 milhões.

Últimas notícias da Qakbot

Como o Qakbot funciona

Como um kit de exploração de segundo estágio, o Qakbot é introduzido no sistema de um alvo por um malware de download de primeiro estágio, seja como parte da exploração inicial ou logo após a obtenção do acesso inicial. As violações do acesso inicial podem ocorrer por meio de várias técnicas, como malspam ou phishing de e-mail com um documento trojanizado, exploração de uma vulnerabilidade pública ou ataques internos mal-intencionados. 

Uma vez operando em um sistema-alvo, o Qakbot procura roubar credenciais e se espalhar para outros hosts na rede usando o Microsoft PowerShell e o kit de exploração Mimikatz. 

O Qakbot usa várias técnicas para roubar informações confidenciais das vítimas, incluindo:

  • Monitorar as teclas digitadas e enviar os registros para sistemas controlados por invasores
  • Enumerar arquivos de sistema para identificar hashes de senha armazenados
  • Pesquisa nos caches de senha do navegador para roubar senhas armazenadas usando o recurso de preenchimento automático do navegador

Sinais de um ataque do Qakbot

Como um malware de segundo estágio, parte da estratégia do Qakbot é furtiva. Para evitar a detecção, o Qakbot avalia um ambiente de sistema local e não descriptografa sua carga útil nem a executa em alguns cenários, como quando a virtualização é detectada ou quando determinados produtos de segurança ou chaves do Registro do Windows estão presentes. Isso permite que o Qakbot oculte sua funcionalidade, impedindo que os pesquisadores de segurança obtenham e analisem rapidamente a carga útil. Outra estratégia furtiva do Qakbot é se injetar (ou pegar carona) em processos de aplicativos legítimos. 

Uma chave de execução não autorizada no Registro do Windows é um possível indicador de um comprometimento da Qakbot. As chaves de execução do Registro são usadas para executar automaticamente um programa quando um usuário faz logon: A Qakbot cria uma entrada para iniciar automaticamente a si mesma para persistir em um sistema. O Qakbot também é notavelmente atualizado em resposta a pesquisas de segurança publicadas para mascarar seus indicadores conhecidos de comprometimento (IOCs).

Como evitar um ataque do Qakbot

O método mais eficaz para evitar uma infecção pelo Qakbot é impedir que os atacantes obtenham acesso inicial e impedir que o Qakbot se espalhe pela rede, caso já tenha obtido acesso inicial. 

Táticas defensivas para impedir o acesso inicial do Qakbot

  • Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão para lidar com e-mails e documentos suspeitos
  • Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização e bloqueie todos os anexos de arquivos.zip protegidos por senha.
  • Configure os aplicativos do Microsoft Office para bloquear a execução de macros VBA
  • Desenvolver e manter um programa de gerenciamento de vulnerabilidades para verificar periodicamente se há vulnerabilidades nos serviços voltados para o público e corrigi-las imediatamente
  • Instale as atualizações do sistema operacional e dos aplicativos e os patches de segurança o mais rápido possível depois que eles estiverem disponíveis

Táticas defensivas para impedir o movimento lateral do Qakbot

  • Implemente controles de acesso robustos com base no princípio do menor privilégio 
  • Aplique políticas de senha que exijam um espaço de chave forte para reduzir as chances de hashes de senha violados serem quebrados off-line.
  • Realizar varreduras regulares de vulnerabilidade e corrigir as vulnerabilidades identificadas
  • Use dispositivos de segurança de rede, como IDS e firewalls de última geração, e fortaleça ainda mais uma rede e segmente sistemas críticos em uma VLAN separada e em um domínio do Windows.
  • Instale e configure produtos de segurança de endpoints que farão a varredura de documentos criptografados imediatamente após serem descriptografados e identificarão IOCs na rede e em seus endpoints
  • Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos

CylanceGUARD para proteção contra malware

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece o conhecimento e o suporte de que as empresas precisam para prevenir e proteger contra ataques de ransomware. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT®autenticação e análise contínuas por meio de CylancePERSONAe detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.
SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos