Diversos análisis de las recientes campañas de Emotet, cuya actividad se reanudó recientemente tras meses de silencio permitieron conocer que, en lugar de distribuir TrickBot como lo hizo la gran parte del año pasado, ha estado desplegando el malware Qakbot sobre los equipos infectados.
Qakbot, un malware que apareció por primera vez en 2007, es una amenaza con múltiples componentes y que cuenta con capacidades de robo de información sobre los dispositivos vulnerados.
Este malware ha estado recientemente activo por su cuenta desde comienzos de año, distribuyéndose principalmente mediante correos electrónicos con enlaces a la descarga de un archivo comprimido con un vbs.
Si bien aún no han habido casos confirmados, es posible que la distribución de Qakbot luego lleve a una infección de ransomware, ya que se han visto recientemente escenarios donde este malware ha distribuido ProLock. Aunque en ocasiones anteriores han habido casos de este malware distribuyéndose mediante la explotación de vulnerabilidades de software, unidades extraíbles y network sharing.
Algo a tener en cuenta, es el hecho de que esto no significa que no volvamos a ver a Emotet distribuyendo a TrickBot ya que estas tres amenazas ya han interacturado bastante en el pasado, habiendo el año pasado también casos aislados de Emotet distribuyendo a Qakbot, entre los casos más conocidos en que se distribuía TrickBot.
Información adicional
Debajo se encuentra nuestro webinar sobre Emotet, adicionalmente en nuestro canal tenemos otro vídeo analizando Ransomware Ryuk y cómo es el workflow de los ataques cuando se da la cadena Emotet – TrickBot – Ryuk