Het beruchte Qakbot is terug van weggeweest. Microsoft Threat Intelligence waarschuwt voor nieuwe phishing-e-mails die pretenderen van de Amerikaanse Belastingdienst (IRS) te zijn.
Eind augustus kondigden internationale politie-eenheden aan dat men het reusachtige Qakbot-botnet had uitgeschakeld tijdens “Operation Duck Hunt”. Nadat deze malware zich alleen al in de twaalf maanden ervoor naar 700.000 computers had verspreid, wist de FBI een admin-account te bemachtigen om het botnet aan te sturen. Daarmee verstuurde de FBI een DLL naar het gehele botleger, waardoor de malware zichzelf verwijderde.
Tip: Qakbot: hoe de autoriteiten het grootste botnet ter wereld vernietigden
Nu blijkt dat Qakbot (Qbot) opnieuw een botnet hoopt te verspreiden met een licht aangepaste versie, 0x500. Microsoft Threat Intelligence laat weten dat een malafide PDF-bestand een Windows Installer bevat voor de nieuwe Qbot-variant. De zogenaamde IRS-mail werd op 11 december verzonden naar verschillende horecabedrijven. De software zou slechts van enkele tweaks zijn voorzien.
Er was al bekend dat de Qakbot-infrastructuur niet volledig was uitgeschakeld. De cybercriminelen achter de malware hebben nog altijd de mogelijkheid om e-mails te versturen. Nu is daar een concreet voorbeeld van.
Een kleine campagne (vooralsnog)
Het gaat volgens het Microsoft-team momenteel nog om een kleine campagne. Security-onderzoekers bij Proofpoint Pim Trouerbach en Tommy Madjar bevestigen dat ook zij Qakbot wederom in de smiezen hebben. Trouerbach noemt het vervelend, maar verwijst naar een eerder stukje malware dat na lang succes probeerde terug te keren. Emotet, door Europol omschreven als ’s werelds “gevaarlijkste malware”, werd begin 2021 onderuit gehaald door grofweg dezelfde internationale coalitie die Qakbot en andere cybergevaren de nek omdraaide. Trouerbach benadrukt dat een herstelpoging van Emotet eind 2021 weinig succes kende.
Qakbot kent een bijzonder lange voorgeschiedenis. Het ontstond in 2008 en richtte zich aanvankelijk op de financiële sector, met het doel om bankgegevens en websitecookies buit te maken. Gaandeweg ontwikkelde het zich als een botnet dat andere cybercriminelen toegang verleende (“initial access”) om zelf bijvoorbeeld ransomware bij slachtoffers te installeren. Het is een berucht voorbeeld van de commercialisering binnen cybercrime, waarin malware als Qakbot slechts als een bemiddelaar geldt van andere kwaadwillenden. De voorheen imposante infrastructuur van Qakbot maakte het een zeer aantrekkelijk hulpmiddel voor beruchte groepen als Conti, ProLock en Black Basta.
Lees ook: Qakbot nog steeds een bedreiging, ondanks eerdere vernietiging
2 dagen geleden
