Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha avuto accesso ai server dell’amministratore di QakBot, mappando l’infrastruttura della botnet in modo completo.
Selena Larson, senior threat intelligence analyst di Proofpoint, commenta così il ritorno di Qbot:
“Proofpoint conferma che il malware Qbot è tornato a far parte del panorama delle minacce via email. Non è insolito vedere il ritorno di un malware dopo le azioni delle forze dell’ordine, i due esempi più importanti sono Trickbot ed Emotet. Sebbene la presenza di Qbot nei dati sulle minacce via email sia notevole, non sono stati osservati lo stesso volume e scala delle campagne precedenti. Il blocco dell’attività imposto delle autorità sembra avere ancora un impatto sulle operazioni di Qbot.
Al momento Proofpoint non è in grado di valutare con sicurezza se l’attività di Qbot continuerà su scala ridotta con un impatto limitato o tornerà ai livelli di attività precedenti. Tuttavia, i ricercatori possono paragonarla al ritorno di Emotet dopo la prima interruzione imposta nel 2021: Emotet è tornato con campagne ad alto volume tra la fine del 2021 e il 2022, ma la botnet non ha riacquistato la sua precedente importanza e a partire dal marzo 2023 non è più stata osservata nei dati delle campagne. Vale anche la pena notare che l’interruzione di Qbot da parte delle forze dell’ordine ha rimosso centinaia di migliaia di infezioni, elemento che ostacolerebbe in modo significativo qualsiasi operazione ricorrente, richiedendo un significativo sforzo ricostruttivo da parte dei suoi attori.
Inoltre, l’interruzione di Qbot non ha fermato i cybercriminali che lo stavano distribuendo. TA577, ad esempio, uno dei più importanti distributori di Qbot, è tornato a inviare malware DarkGate a settembre e da allora ha diffuso anche Pikabot in campagne composte tipicamente da decine di migliaia di messaggi.”
