En 2008 surgió Qakbot, un malware que atacó a empresas y usuarios para robar información aprovechando una vulnerabilidad de Windows. Afortunadamente, los avances en ciberseguridad y los esfuerzos de Microsoft lograron detener la amenaza por un tiempo, pero no para siempre. De acuerdo a los investigadores de Cisco Talos, Qakbot se actualizó recientemente y está de regreso.

El malware renovó su sistema de persistencia, por lo que puede mantenerse en un ordenador sin ser detectado por usuarios o sistemas de seguridad. La última versión de Qakbot se ayuda de un dropper, un software para instalar código malicioso desde el propio programa o desde servidores externos, logrando así pasar desapercibido para los antivirus.

En el caso del dropper de Qakbot, es capaz de conectarse a varias direcciones de internet donde se aloja un software malicioso creado en JavaScript. Es importante mencionar que las susodichas direcciones no siempre pertenecen a los hackers; algunas fueron secuestradas para ser empleadas en sus propósitos de robar datos.

Una vez que el código malicioso se encuentra instalado en el ordenador, comienza a solicitar sus instrucciones de ejecución, mismas que se encuentran alojadas en el servidor externo. Estas instrucciones tienen cifrado XOR, evitando que sea posible conocer su verdadero objetivo en caso de ser interceptadas.

Cuando el proceso de implementación termina y el malware tiene sus instrucciones, empieza a robar información en segundo plano. De acuerdo a los investigadores, los ciberdelincuentes buscan datos privados que les permitan, por ejemplo, acceder a cuentas bancarias. Cisco Talos ha compartido una lista de dominios involucrados con el malware, la cual puede ayudar a prevenir los ataques.

No obstante, será complicado que pronto veamos una solución a la amenaza de Qakbot, ya que su nivel de sofisticación le permite seguir causando daños aún cuando sus archivos principales han sido eliminados de los ordenadores.