Malware que rouba senhas acaba de desenvolver uma nova tática para permanecer oculto

Uma forma bem conhecida de malware, que vem roubando credenciais de login e finanças de empresas há mais de uma década, foi novamente atualizada com novos truques para torná-lo mais eficaz em evitar a detecção.

Qakbot – também conhecido como Qbot – vem afligindo empresas desde 2008 , usando recursos semelhantes a worms para se espalhar. O malware trojan de roubo de informações é direcionado aos sistemas Microsoft Windows em um esforço para criar backdoors e aproveitar os nomes de usuário e senhas que podem fornecer acesso a dados financeiros.

Agora o Qakbot foi atualizado com um novo mecanismo de persistência que torna mais difícil para as vítimas detectar e remover o malware. A nova técnica de ofuscação foi detalhada por pesquisadores de segurança cibernética da Cisco Talos .

As vítimas do malware geralmente são infectadas por meio de um conta-gotas que, quando instalado com sucesso, criará uma tarefa agendada na máquina infectada que instrui a execução de um downloader de JavaScript de um dos vários domínios mal-intencionados controlados pelo invasor.

Estes viram um aumento nos pedidos em abril, que parecem coincidir com uma nova campanha do Qakbot e uma mudança no mecanismo de persistência.

O novo downloader sempre solicita recursos do mesmo Uniform Resource Identifier nos domínios sequestrados que são criptografados XOR para ajudar a ofuscar os dados maliciosos contidos em um downloader de JavaScript e permitir que o malware execute suas tarefas.

Isso também é ajudado pelo malware que agora está sendo dividido em dois arquivos separados, que são apenas remontados para implantar o Qakbot quando o executável descartado é executado – o que dificulta a detecção do software antivírus.

“A detecção focada em ver a transferência completa do executável mal-intencionado provavelmente perderia essa versão atualizada do Qakbot. Devido a essa atualização dos mecanismos de persistência, a transferência do binário malicioso do Qbot será ofuscada ao ponto que alguns produtos de segurança poderiam perder “, disse Ashlee Benge, pesquisadora de segurança da Cisco Talos.

Depois de implantado em um sistema infectado, o malware trojan funcionará em segundo plano para roubar os dados relevantes para as metas dos invasores. Os pesquisadores publicaram uma lista completa dos domínios maliciosos do Qakbot como parte da análise de malware , juntamente com hashes e indicadores de comprometimento.

Mas a melhor forma de defesa contra o Qakbot é impedir que ele seja implantado na máquina em primeiro lugar , porque mesmo quando o malware é removido, ele ainda pode causar problemas contínuos .