Operator di balik malware Qakbot mengubah vektor pengiriman mereka dalam upaya untuk menghindari deteksi.
“Baru-baru ini, pelaku ancaman telah mengubah teknik mereka untuk menghindari deteksi dengan menggunakan ekstensi file ZIP, menarik nama file dengan format umum, dan Excel (XLM) 4.0 untuk mengelabui korban agar mengunduh lampiran berbahaya yang menginstal Qakbot,” peneliti Zscaler Threatlabz Tarun Dewan dan kata Aditya Sharma.
Metode lain yang diadopsi oleh grup termasuk kebingungan kode, memperkenalkan lapisan baru dalam rantai serangan dari kompromi awal hingga eksekusi, dan menggunakan banyak URL serta ekstensi file yang tidak dikenal (misalnya, .OCX, .ooccxx, .dat, atau .gyp) ke mengantarkan muatan.
Juga disebut QBot, QuackBot, atau Pinkslipbot, Qakbot telah menjadi ancaman berulang sejak akhir 2007, berkembang dari hari-hari awalnya sebagai trojan perbankan menjadi pencuri informasi modular yang mampu menyebarkan muatan tahap berikutnya seperti ransomware.
“Qakbot adalah alat pasca-eksploitasi fleksibel yang menggabungkan berbagai lapisan teknik penghindaran pertahanan yang dirancang untuk meminimalkan deteksi,” ungkap Fortinet pada Desember 2021.
“Desain modular Qakbot dan ketahanannya yang terkenal dalam menghadapi deteksi berbasis tanda tangan tradisional menjadikannya pilihan pertama yang diinginkan bagi banyak kelompok yang termotivasi secara finansial (penjahat dunia maya).”
Taktik pergeseran yang diadopsi oleh malware dari makro XLM pada awal 2022 ke file .LNK pada bulan Mei dipandang sebagai upaya untuk melawan rencana Microsoft untuk memblokir makro Office secara default pada April 2022, sebuah keputusan yang telah dibatalkan untuk sementara.
Selain itu, modifikasi lebih lanjut termasuk penggunaan PowerShell untuk mengunduh malware DLL dan peralihan dari regsvr32.exe ke rundlll32.exe untuk memuat muatan, dalam apa yang digambarkan oleh para peneliti sebagai “tanda yang jelas dari Qakbot yang berevolusi untuk menghindari praktik keamanan yang diperbarui dan pertahanan.”