Vírus veterano volta a ameaçar Windows em 2021 com novos truques

O cavalo de troia bancário Qakbot, que existe há mais uma década, está em alta em 2021, graças a novos truques adicionados no seu funcionamento e estrutura que dificultam sua detecção. O problema é tão notável que a Microsoft, para ajudar eventuais empresas e usuários afetados pelo vírus, disponibilizou um guia com detalhes da ameaça.

• Cansaço causado por pandemia e trabalho remoto levam a vacilos na segurança
• Ministério da Saúde invadido? ConectSUS sai do ar após suposto ataque

Segundo um levantamento recente da Kaspersky, o Qakbot, entre janeiro e julho de 2021, infectou 65% mais computadores do que em 2020 inteiro, o colocando como uma ameaça em ascensão durante o ano atual.

Por conta disso, a Microsoft disponibilizou um relatório, descrevendo a ameaça e como pessoas podem se prevenir de uma infecção com ela. Segundo a desenvolvedora do Windows, é importante ter em mente que como o Qakbot é modular, ele pode distribuir e aparecer como diferentes ataques em diversos dispositivos na rede, dificultando sua detecção.

Um dos módulos do Qakbot funciona com a estrutura do Cobalt Strike, software de emulação de ameaças adaptado por criminosos para invadir máquinas, pode ser alugado por outras gangues de crimes virtuais para distribuição de seus próprios agents maliciosos.

Segundo a Trend Micro, ameaças ransomware como o MegaCortex e o PwndLocker, de 2019, o Egregor e o Prolock, de 2020 e o REvil, de 2021, usaram esse método em alguns de seus ataques.

Como funciona o ataque

Segundo a Microsoft, a maioria dos ataques com Qakbot tem início a partir de links, imagens e anexos em e-mails, que quando abertos infectam os dispositivos com a ameaça. Outro método também foi detalhado, que utiliza macros (padrões de funcionamento) feitos no Visual Basic para Aplicações (VBA) ou nos padrões legado do Excel 4.0, para conseguir invadir e roubar dados dos dispositivos.

Após a infecção, o Qakbot esconde seus processos maliciosos injetando-os em tarefas agendadas no sistema, além de fazer alterações no registro do Windows para se manter indetectado.

Usando esses processos escondidos, a ameaça começa sua movimentação lateral pela rede onde o dispositivo infectado está conectando, coletando dados e credenciais desses sistemas.

Para mitigar o possível impacto de uma invasão do Qakbot, a Microsoft recomenda que os usuários ativem a proteção anti-phishing do Office 365, utilizem o SmartScreen e realizem escaneamentos de seus sistemas com proteções antivírus sempre que possível.

Fonte: ZDNET