Корпорация Microsoft, а также исследователи Пим Троуербак и Томми Маджар сообщают о возобновлении активности вредоносного ПО QakBot (также известного как Qbot). В августе нынешнего года правоохранительные органы нескольких стран провели совместную операцию под названием Operation Duck Hunt, направленную на уничтожение ботнета QakBot. В результате операции правоохранители взяли под контроль серверы бот-сети и составили карту ее инфраструктуры. Далее специалисты ФБР США смогли получить доступ к ключам шифрования, использовавшимся для коммуникации с инфицированными устройствами, и направить на эти устройства команду на самоуничтожение вредоносного ПО.

Таким образом, ботнет был полностью ликвидирован. Однако спустя четыре месяца исследователи обнаружили фишинговую кампанию, в рамках которой рассылаются сообщения электронной почты, содержащие все тот же QakBot во вредоносных вложениях. Масштаб кампании достаточно невелик, она нацелена на предприятия индустрии гостеприимства, и письма маскируются под сообщения налоговой службы. Они содержат вложенный PDF-файл, предварительный просмотр которого невозможен: для прочтения требуется его загрузка. Но если пользователь дает команду загрузить файл, в память устройства загружается DLL-библиотека QakBot. Специалисты отмечают, что эта версия вредоносного ПО выглядит несколько обновленной, однако содержит ряд ошибок. Это позволяет предположить, что злоумышленники находятся в процессе разработки стабильной версии зловреда.

Вредоносное ПО QakBot впервые появилось еще в 2008 году, и поначалу это был банковский троянец, предназначенный для похищения данных учетных записей сервисов онлайн-банкинга. Однако со временем зловред заметно эволюционировал, превратившись в масштабный сервис для загрузки других видов вредоносных программ. В частности, к его услугам неоднократно прибегали многие самые известные кибервымогательские группировки – от Conti и REvil до Basta и BlackCat.