Các nhà khai thác đằng sau phần mềm độc hại Qakbot đang chuyển đổi các vectơ phân phối của họ trong một nỗ lực để tránh bị phát hiện.
“Gần đây nhất, các tác nhân đe dọa đã biến đổi kỹ thuật của họ để tránh bị phát hiện bằng cách sử dụng phần mở rộng tệp ZIP, lôi kéo tên tệp có định dạng phổ biến và Excel (XLM) 4.0 để lừa nạn nhân tải xuống các tệp đính kèm độc hại cài đặt Qakbot”, nhà nghiên cứu Tarun Dewan của Zscaler Threatlabz và Aditya Sharma nói.
Các phương pháp khác được nhóm áp dụng bao gồm làm xáo trộn mã, giới thiệu các lớp mới trong chuỗi tấn công từ thỏa hiệp ban đầu đến thực thi và sử dụng nhiều URL cũng như các phần mở rộng tệp không xác định (ví dụ: .OCX, .ooccxx, .dat hoặc .gyp) để giao trọng tải.
Còn được gọi là QBot, QuackBot hoặc Pinkslipbot, Qakbot đã là một mối đe dọa lặp lại kể từ cuối năm 2007, phát triển từ những ngày đầu tiên như một trojan ngân hàng thành một kẻ đánh cắp thông tin mô-đun có khả năng triển khai các tải trọng giai đoạn tiếp theo như ransomware.
Fortinet tiết lộ vào tháng 12 năm 2021: “Qakbot là một công cụ hậu khai thác linh hoạt kết hợp nhiều lớp kỹ thuật phòng thủ khác nhau được thiết kế để giảm thiểu sự phát hiện”.
“Thiết kế mô-đun và khả năng phục hồi khét tiếng của Qakbot khi đối mặt với tính năng phát hiện dựa trên chữ ký truyền thống khiến nó trở thành lựa chọn đầu tiên đáng mơ ước cho nhiều nhóm có động cơ tài chính (tội phạm mạng).”
Các chiến thuật chuyển đổi được phần mềm độc hại áp dụng từ macro XLM vào đầu năm 2022 sang tệp .LNK vào tháng 5 được coi là nỗ lực chống lại kế hoạch chặn macro Office theo mặc định của Microsoft vào tháng 4 năm 2022, một quyết định mà nó đã tạm thời lùi lại.
Ngoài ra, các sửa đổi khác bao gồm việc sử dụng PowerShell để tải xuống phần mềm độc hại DLL và chuyển từ regsvr32.exe sang rundlll32.exe để tải trọng tải, trong đó các nhà nghiên cứu mô tả là “dấu hiệu rõ ràng cho thấy Qakbot đang phát triển để tránh các phương pháp bảo mật được cập nhật và phòng thủ. “
.
