Bleeping Computerはこのほど、「New Qbot malware variant uses fake Adobe installer popup for evasion」において、Windowsユーザーを標的とするマルウェア「Qakbot(別名:Qbot)」の新しい亜種を確認したと報じた。2023年12月中旬ごろから、マルウェア「Qakbot」の開発者またはそのソースコードにアクセスできる脅威アクターがメールを使ったキャンペーンにおいて「Qakbot」を配布されていることが確認されており、この脅威アクターは新しいマルウェアの実験をしている可能性があると指摘されている。

  • New Qbot malware variant uses fake Adobe installer popup for evasion

    New Qbot malware variant uses fake Adobe installer popup for evasion

マルウェア「Qakbot」の威力

マルウェア「Qakbot」は2023年8月29日(米国時間)にアメリカ合衆国司法省(DOJ: United States Department of Justice)が発表した通り、一度壊滅している(マルウェア「Qakbot」米国ら共同作戦で壊滅、これ以上の被害はない | TECH+(テックプラス))。このマルウェアは壊滅までのわずか18カ月間に70万台以上のシステムに感染し、推定5,800万ドル以上の損失を発生させたとみられている。

Bleeping Computerによると、この壊滅作戦では逮捕者が出ていないという。そのため、セキュリティ研究者の間ではQakbotの開発者がインフラを再構築して復活するのは時間の問題だろうと推測されていた。そして2023年12月、Microsoftはアメリカ合衆国内国歳入庁(IRS: Internal Revenue Service)になりすましたフィッシングキャンペーンにおいて、Qakbotを観察したとして復活が指摘されていた。

「Qakbot」の新しい亜種の特徴

サイバーセキュリティ企業の「Sophos」によると、最近になりQakbotの新しい活動を確認し、2023年12月以降に最大10個の新しい亜種が出現したという(参考:「Sophos X-Ops: "Hey everyone. @threatresearch …" - Infosec Exchange」)。Sophosの研究者はこのサンプルをリバースエンジニアリングして分析している。その分析によると、新しい亜種は熱心にビルド番号を増やしていることから、現時点ではまだマルウェアのテストを実施している段階とみられている。

12月と1月に観察されたサンプルでは、Microsoftインストーラー形式(.MSIファイル)の実行可能ファイルとして配布されている。このインストーラーを実行するとCABアーカイブに含まれるDLL(Dynamic Link Library)を展開し、シェルコードを使用して実行する。DLLは自身のコピーを作成し、コピーのインスタンスにマルウェアのコードを展開して実行する。

新しい亜種では難読化技術が使用されており、文字列などを隠蔽する暗号化の強化に取り組んでいることが観察されている。マルウェアは、実行されるとレジストリに設定が保存されているかを確認し、されていない場合はマルウェアに埋め込まれたデフォルト設定で動作を開始する。その後、コマンド&コントロール(C2: Command and Control)サーバと通信するが、この通信もAES-256を使用して暗号化されるように変更されている。

また、エンドポイント保護ソリューションの存在を確認し、存在する場合はマルウェアのコードをAtBroker.exe、backgroundTaskHost.exe、dxdiag.exeのいずれかに挿入する機能を持つ。他にも過去に1度削除された仮想環境を検出する機能が復活しており、仮想環境を検出すると無限ループに陥るとされる。