QakBot 恶意软件以新策略重新出现

新一波传播 QakBot恶意软件的网络钓鱼消息。 在执法部门通过渗透其命令与控制 (C2) 网络拆除其基础设施三个多月后，我们观察到了。

发现这一情况的微软将其描述为一场小规模的活动，于 2023 年 12 月 11 日开始，针对酒店业。

“Targets 收到了一名伪装成 IRS 员工的用户发送的 PDF 文件。” 表示 这家科技巨头在 X（以前称为 Twitter）上分享的一系列帖子中。

“该 PDF 包含一个 URL，用于下载经过数字签名的 Windows Installer (.msi)。执行 MSI 导致使用嵌入式 DLL 的导出“hvsi”执行来调用 Qakbot。”

微软表示，有效负载是在活动开始的同一天生成的，并且配置了之前未见过的版本 0x500。

Zscaler ThreatLabz 在 X 上分享的一篇 文章 中将重新出现的 QakBot 描述为 64 位二进制文​​件，它利用 AES 进行网络加密并将 POST 请求发送到路径 /teorema505。

当局成功入侵QakBot (QBot或Pinkslipbot)的设施，控制所有被感染的计算机下载和执行了卸载程序从而卸载了QakBot。

传统上，QakBot 通过包含恶意附件或超链接的垃圾邮件进行分发，它能够收集敏感信息并传播其他恶意软件，包括勒索软件。

2023 年 10 月，思科 Talos 透露 QakBot 附属公司正在利用网络钓鱼诱饵来传播勒索软件、远程访问木马和窃取恶意软件的组合。  

像Emotet，在2021年末QakBot被执法机构拆除后低调的重新浮出水面。QakBot仍是一个持久的威胁。

虽然该恶意软件是否会恢复昔日的辉煌还有待观察，但此类僵尸网络的恢复能力强调了组织需要避免成为 Emotet 和 QakBot 活动中使用的垃圾邮件的受害者。