Blog

Aug 13, 2023

Cómo el FBI eliminó el malware Qakbot de las PC con Windows infectadas

El FBI anunció hoy la interrupción de la botnet Qakbot en una operación policial internacional que no solo confiscó la infraestructura sino que también desinstaló el malware de los dispositivos infectados.

El FBI anunció hoy la interrupción de la botnet Qakbot en una operación policial internacional que no solo confiscó la infraestructura sino que también desinstaló el malware de los dispositivos infectados.

Durante la operación policial del fin de semana pasado, Operación Duck Hunt, el FBI redirigió las comunicaciones de red de la botnet a servidores bajo su control, lo que permitió a los agentes identificar aproximadamente 700.000 dispositivos infectados (200.000 ubicados en los EE. UU.).

Después de tomar el control de la botnet, el FBI ideó un método para desinstalar el malware de las computadoras de las víctimas, desmantelando efectivamente la infraestructura de la botnet, desde las PC de las víctimas hasta las propias computadoras de los operadores del malware.

Antes de saber cómo el FBI desinstaló Qakbot de las computadoras, es esencial comprender cómo se distribuyó el malware, qué comportamiento malicioso realizó y quién lo utilizó.

Qakbot, también conocido como Qbot y Pinkslipbot, comenzó como un troyano bancario en 2008, utilizado para robar credenciales bancarias, cookies de sitios web y tarjetas de crédito para realizar fraudes financieros.

Sin embargo, con el tiempo, el malware evolucionó hasta convertirse en un servicio de entrega de malware utilizado por otros actores de amenazas para obtener acceso inicial a las redes para realizar ataques de ransomware, robo de datos y otras actividades cibernéticas maliciosas.

Qakbot se distribuye a través de campañas de phishing que utilizan una variedad de señuelos, incluidos ataques de correo electrónico en cadena de respuesta, que ocurre cuando los actores de amenazas usan un hilo de correo electrónico robado y luego responden con su propio mensaje y un documento malicioso adjunto.

Estos correos electrónicos suelen incluir documentos maliciosos como archivos adjuntos o enlaces para descargar archivos maliciosos que instalan el malware Qakbot en el dispositivo de un usuario.

Estos documentos cambian entre campañas de phishing y van desde documentos de Word o Excel con macros maliciosas, archivos de OneNote con archivos incrustados hasta archivos adjuntos ISO con ejecutables y accesos directos de Windows. Algunos de ellos también están diseñados para explotar las vulnerabilidades de día cero en Windows.

Independientemente de cómo se distribuya el malware, una vez que Qakbot se instala en una computadora, se inyectará en la memoria de procesos legítimos de Windows, como wermgr.exe o AtBroker.exe, para intentar evadir la detección por parte del software de seguridad.

Por ejemplo, la siguiente imagen muestra el malware Qbot inyectado en la memoria del proceso legítimo wermgr.exe.

Una vez que el malware se inicia en un dispositivo, buscará información para robar, incluidos los correos electrónicos de la víctima, para utilizarla en futuras campañas de correo electrónico de phishing.

Sin embargo, los operadores de Qakbot también se asociaron con otros actores de amenazas para facilitar el cibercrimen, como proporcionar a las bandas de ransomware acceso inicial a las redes corporativas.

En el pasado, Qakbot se ha asociado con múltiples operaciones de ransomware, incluidas Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex y, más recientemente, Black Basta y BlackCat/ALPHV.

El FBI dice que entre octubre de 2021 y abril de 2023, los operadores de Qakbot ganaron aproximadamente 58 millones de dólares por pagos de ransomware.

Como parte del anuncio de hoy, el FBI afirma que pudieron desmantelar la botnet al apoderarse de la infraestructura del servidor del atacante y crear una herramienta de eliminación especial que desinstaló el malware Qakbot de los dispositivos infectados.

Según una solicitud de orden de incautación publicada por el Departamento de Justicia, el FBI pudo obtener acceso a las computadoras administrativas de Qakbot, lo que ayudó a las fuerzas del orden a mapear la infraestructura del servidor utilizada en la operación de la botnet.

Según su investigación, el FBI determinó que la botnet Qakbot utilizaba servidores de comando y control de nivel 1, 2 y 3, que se utilizan para emitir comandos para ejecutar, instalar actualizaciones de malware y descargar cargas útiles adicionales de socios a los dispositivos. .

Los servidores de nivel 1 son dispositivos infectados con un módulo "supernodo" instalado que actúa como parte de la infraestructura de comando y control de la botnet, y algunas de las víctimas se encuentran en Estados Unidos. Los servidores de nivel 2 también son servidores de comando y control, pero los operadores de Qakbot los operan, generalmente desde servidores alquilados fuera de EE. UU.

El FBI dice que tanto los servidores de Nivel 1 como los de Nivel 2 se utilizan para transmitir comunicaciones cifradas con los servidores de Nivel 3.

Estos servidores de nivel 3 actúan como servidores centrales de comando y control para emitir nuevos comandos para ejecutar, nuevos módulos de software malicioso para descargar y malware para instalar desde los socios de la botnet, como las bandas de ransomware.

Cada 1 a 4 minutos, el malware Qakbot en los dispositivos infectados se comunicaría con una lista incorporada de servidores de Nivel 1 para establecer una comunicación cifrada con un servidor de Nivel 3 y recibir comandos para ejecutar o nuevas cargas útiles para instalar.

Sin embargo, después de que el FBI se infiltrara en la infraestructura de Qakbot y en los dispositivos del administrador, accedió a las claves de cifrado utilizadas para comunicarse con estos servidores.

Usando estas claves, el FBI usó un dispositivo infectado bajo su control para contactar a cada servidor de Nivel 1 y hacer que reemplazara el módulo "supernodo" Qakbot ya instalado por uno creado por las fuerzas del orden.

Este nuevo módulo de supernodo controlado por el FBI utilizó diferentes claves de cifrado que los operadores de Qakbot no conocían, lo que los bloqueó efectivamente de su propia infraestructura de comando y control, ya que ya no tenían ninguna forma de comunicarse con los servidores de Nivel 1.

Luego, el FBI creó una DLL de Windows personalizada (o módulo Qakbot) [VirusTotal] que actuó como una herramienta de eliminación y fue enviada a los dispositivos infectados desde los servidores de Nivel 1 ahora secuestrados.

Según un análisis del módulo FBI realizado por SecureWorks, este archivo DLL personalizado emitió el comando QPCMD_BOT_SHUTDOWN al malware Qakbot que se ejecuta en los dispositivos infectados, lo que hace que el proceso de malware deje de ejecutarse.

SecureWorks dice que vieron por primera vez este módulo personalizado en dispositivos infectados el 25 de agosto a las 7:27 p.m. ET.

"A las 00:27 BST del 25 de agosto, los investigadores de CTU detectaron la botnet Qakbot distribuyendo shellcode a dispositivos infectados", explica SecureWorks.

"El código shell descomprime un ejecutable DLL (biblioteca de vínculos dinámicos) personalizado que contiene código que puede finalizar limpiamente el proceso Qakbot en ejecución en el host".

El FBI dice que esta herramienta de eliminación de Qakbot fue autorizada por un juez con un alcance muy limitado de eliminar únicamente el malware de los dispositivos infectados.

Además, como el malware se inyecta en la memoria de otro proceso, la herramienta de eliminación no necesita leer ni escribir nada en el disco duro para cerrar el proceso.

"Qakbot establece persistencia en un host cuando detecta que un usuario inicia un apagado del sistema. El uso de la canalización con nombre para finalizar el proceso de Qakbot evita la persistencia", continúa SecureWorks.

"Como resultado, Qakbot no se ejecutará si se reinicia el host".

Sin embargo, como se señala en los comentarios a continuación, QakBot también puede crear una tarea programada para iniciar el malware al inicio, lo que podría cargar el malware nuevamente en la memoria.

Esto provocaría un ciclo repetido de inicios y desinstalaciones de QakBot mientras descarga el módulo del FBI, como SecureWorks explicó a BleepingComputer a continuación.

En este momento, el FBI no está seguro del número total de dispositivos que se han limpiado de esta manera, pero como el proceso comenzó durante el fin de semana, esperan que se limpien más dispositivos a medida que se conecten nuevamente a la infraestructura Qakbot secuestrada.

El FBI también compartió una base de datos que contiene credenciales robadas por el malware Qakbot con Have I Been Pwned y la Policía Nacional Holandesa.

Como no se mostrarán notificaciones en los dispositivos infectados cuando se elimine el malware, puede utilizar estos servicios para ver si le robaron sus credenciales, lo que indica que es posible que en algún momento haya sido infectado con el malware Qakbot.

Esta no es la primera vez que el FBI utiliza una orden de incautación aprobada por un tribunal para eliminar malware de dispositivos infectados.

El FBI recibió previamente la aprobación judicial para eliminar el malware de robo de datos Russian Snake y el malware Emotet de los dispositivos infectados, así como los shells web en los servidores Microsoft Exchange implementados en los ataques ProxyLogon.

Si bien esto es definitivamente una victoria para las fuerzas del orden, puede que no sea el final de la operación Qakbot ya que no se realizaron arrestos.

Por lo tanto, es probable que veamos a los operadores de Qakbot comenzar a reconstruir su infraestructura durante los próximos meses mediante campañas de phishing o comprando instalaciones a través de otras botnets.

Actualización 30/08/23: información agregada sobre la persistencia

La botnet Qakbot es desmantelada tras infectar más de 700.000 ordenadores

El malware DreamBus aprovecha la falla de RocketMQ para infectar servidores

La botnet MyKings sigue activa y genera enormes cantidades de dinero

El malware Gafgyt explota una falla de cinco años en el enrutador EoL Zyxel

El malware AVrecon infecta 70.000 enrutadores Linux para crear una botnet