Qakbot, Qbot, Pinkslipbot, QuakBot, um malware sofisticado com vários nomes. Ele está ativo há mais de uma década e, em janeiro, os pesquisadores observaram campanhas do Qakbot usando documentos do OneNote para propagar a distribuição.

Isso marca o Qbot como outro em uma série de vários malwares que usam esse método de distribuição. As campanhas alternam entre dois vetores de ataque: uma URL incorporada no e-mail para baixar o arquivo malicioso e um arquivo malicioso como anexo de e-mail.

Os documentos do OneNote apresentam um botão de chamada para ação que, uma vez clicado, executa a carga útil. O Qakbot usa várias técnicas de evasão, incluindo antidepuração, análise antidinâmica, anti-AVs e comunicação C2 criptografada. Os pesquisadores observaram duas campanhas paralelas de spam, apelidadas de Qaknote, disseminando anexos maliciosos do OneNote com um aplicativo HTML incorporado.

Os pesquisadores compartilharam TTPs para detectar e mitigar essa ameaça. Essas medidas incluem o bloqueio de e-mails contendo anexos com extensões incomuns, evitando sites maliciosos e bloqueando domínios de nível superior raramente usados.

Fonte: BoletimSec