Un análisis del malware «evasivo y tenaz» conocido como QBot ha revelado que el 25 % de sus servidores de comando y control (C2) solo están activos durante un solo día.
Además, el 50% de los servidores no permanecen activos durante más de una semana, lo que indica el uso de una infraestructura C2 adaptable y dinámica , dijo Lumen Black Lotus Labs en un informe compartido con The Hacker News.
«Esta botnet ha adaptado técnicas para ocultar su infraestructura en el espacio de IP residencial y servidores web infectados, en lugar de ocultarse en una red de servidores privados virtuales (VPS) alojados», dijeron los investigadores de seguridad Chris Formosa y Steve Rudd.
QBot , también llamado QakBot y Pinkslipbot, es una amenaza persistente y potente que comenzó como un troyano bancario antes de convertirse en un descargador de otras cargas útiles, incluido el ransomware. Sus orígenes se remontan a 2007.
El malware llega a los dispositivos de las víctimas a través de correos electrónicos de spear-phishing, que incorporan directamente archivos señuelo o contienen direcciones URL incrustadas que conducen a documentos señuelo.
Los actores de amenazas detrás de QBot han mejorado continuamente sus tácticas a lo largo de los años para infiltrarse en los sistemas de las víctimas utilizando diferentes métodos, como el secuestro de hilos de correo electrónico, el contrabando de HTML y el empleo de tipos de archivos adjuntos poco comunes para pasar las barreras de seguridad.
Otro aspecto notable de la operación es el propio modus operandi: las campañas de malspam de QBot se desarrollan en forma de ráfagas de actividad intensa seguidas de períodos de pocos o ningún ataque, solo para resurgir con una cadena de infección renovada.
Si bien las olas de phishing que llevaban QBot a principios de 2023 aprovecharon Microsoft OneNote como vector de intrusión, los ataques recientes han empleado archivos PDF protegidos para instalar el malware en las máquinas de las víctimas.
La dependencia de QakBot de servidores web comprometidos y hosts existentes en el espacio de IP residencial para C2 se traduce en una breve vida útil y un alto nivel de rotación, lo que lleva a un escenario en el que surgen de 70 a 90 servidores nuevos en un período de siete días en promedio.
«Qakbot conserva la resiliencia al reutilizar las máquinas de las víctimas en C2», dijeron los investigadores, y agregaron que repone «el suministro de C2 a través de bots que posteriormente se convierten en C2».
Según los datos publicados por Team Cymru el mes pasado, se sospecha que la mayoría de los servidores Qakbot bot C2 son hosts comprometidos que se compraron a un intermediario externo, y la mayoría de ellos se encuentran en India a partir de marzo de 2023.
El examen de la infraestructura de ataque de Black Lotus Labs ha revelado además la presencia de un servidor backconnect que convierte un «número significativo» de los bots infectados en un proxy que luego puede publicitarse para otros fines maliciosos.
«Qakbot ha perseverado al adoptar un enfoque práctico de campo para construir y desarrollar su arquitectura», concluyeron los investigadores.
«Si bien es posible que no se base en números absolutos como Emotet , demuestra destreza técnica al variar los métodos de acceso inicial y mantener una arquitectura C2 residencial resistente pero evasiva».
Fuente y redacción: thehackernews.com
