Operadores de malware QakBot expandem rede C2 com 15 novos servidores
As descobertas são uma continuação da análise de infraestrutura do malware da Team Cymru, e chegam pouco mais de dois meses depois após uma pesquisa que evelou que 25% de seus servidores C2 estão ativos apenas por um único dia. O QakBot tem um histórico de fazer uma pausa prolongada a cada verão antes de retornar em algum momento em setembro, com as atividades de spam deste ano cessando por volta de 22 de junho de 2023. A maioria dos servidores C2 do bot, que se comunicam com os hosts da vítima, está localizada na Índia e os endereços IP de destino dos EUA identificados a partir de conexões T2 de saída estão baseados principalmente nos EUA, Índia, México e Venezuela.
Fora os 15 servidores C2, seis servidores C2 ativos desde antes de junho e dois servidores C2 que ganharam vida em junho continuaram a exibir atividade em julho após a conclusão do spam. Ao elevar as vítimas para serem usadas como infraestrutura C2 com comunicação T2, o QakBot efetivamente pune os usuários duas vezes, primeiro no comprometimento inicial e segundo no risco potencial à reputação de um host ser identificado publicamente como malicioso.
Fonte: BoletimSec
Publicado em: Cybersegurança