Según The Hacker News , QakBot es una cepa de malware conocida para Windows que se estima que ha comprometido más de 700.000 computadoras en todo el mundo y facilita el fraude financiero y el ransomware.

El Departamento de Justicia de Estados Unidos (DoJ) dijo que el malware está siendo eliminado de las computadoras de las víctimas, evitando que cause más daños, y las autoridades han confiscado más de 8,6 millones de dólares en criptomonedas ilícitas.

La operación transfronteriza involucró a Francia, Alemania, Letonia, Rumania, Países Bajos, Reino Unido y Estados Unidos, con el apoyo técnico de la firma de ciberseguridad Zscaler. Fue la mayor ofensiva liderada por Estados Unidos contra la infraestructura de botnets utilizada por cibercriminales, aunque no se anunciaron arrestos.

QakBot, también conocido como QBot y Pinkslipbot, comenzó a operar como un troyano bancario en 2007 antes de pasar a actuar como un centro de distribución de malware en máquinas infectadas, incluido ransomware. Algunos de los ransomware de QakBot incluyen Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Se cree que los operadores de QakBot recibieron alrededor de 58 millones de dólares en pagos de rescate de las víctimas entre octubre de 2021 y abril de 2023.

Este malware modular, que a menudo se distribuye a través de correos electrónicos de phishing, está equipado con capacidades de ejecución de comandos y recopilación de información. QakBot se ha actualizado continuamente a lo largo de su existencia. El Departamento de Justicia afirmó que las computadoras infectadas con el malware eran parte de una red de bots, lo que significa que los perpetradores podían controlar de forma remota todas las computadoras infectadas de manera coordinada.

Según documentos judiciales, la operación accedió a la infraestructura de QakBot, que luego podría redirigir el tráfico de la botnet a través de servidores controlados por el FBI, con el objetivo final de deshabilitar la cadena de suministro criminal. Los servidores ordenaron a las computadoras comprometidas que descargaran un desinstalador, diseñado para eliminar las máquinas de la botnet QakBot, previniendo eficazmente la distribución de componentes de malware adicionales.

QakBot ha demostrado una mayor sofisticación con el tiempo, cambiando rápidamente de táctica para responder a nuevas medidas de seguridad. Después de que Microsoft deshabilitara las macros de forma predeterminada en todas las aplicaciones de Office, el malware comenzó a utilizar archivos de OneNote como vector de infección a principios de este año.

La sofisticación y adaptabilidad también residen en la utilización de múltiples formatos de archivos como PDF, HTML y ZIP en la cadena de ataque de QakBot. La mayoría de los servidores de comando y control del malware están ubicados en Estados Unidos, Reino Unido, India, Canadá y Francia, mientras que se cree que la infraestructura de soporte está ubicada en Rusia.

QakBot, como Emotet e IcedID, utiliza un sistema de servidor de tres niveles para controlar y comunicarse con el malware instalado en las computadoras infectadas. El propósito principal de los servidores de nivel 1 y 2 es retransmitir comunicaciones que contienen datos cifrados entre las máquinas infectadas y los servidores de nivel 3 que controlan la botnet.

A mediados de junio de 2023, se habían identificado 853 servidores de nivel 1 en 63 países, y los servidores de nivel 2 actuaban como servidores proxy para enmascarar el servidor de control principal. Los datos recopilados por Abuse.ch muestran que todos los servidores de QakBot están ahora fuera de línea.

Según HP Wolf Security, QakBot también fue una de las familias de malware más activas en el segundo trimestre de 2023 con 18 cadenas de ataque y 56 campañas. Muestra la tendencia de los grupos criminales a intentar explotar rápidamente las vulnerabilidades de los sistemas de defensa cibernética para obtener ganancias ilegales.