s0650-qakbot - RunkIntel

# QakBot > Loader e botnet modular ativo desde 2007, evoluıu de banking trojan para plataforma de acesso inicial usada por grupos de ransomware. Operação Duck Hunt do FBI derrubou infraestrutura em agosto de 2023, removendo malware de 700 mil sistemas. Ressurgiu em dezembro de 2023. Em 2026 ainda figura entre os principais loaders ativos. Conexão documentada com [[g1046-storm-1811|Storm-1811]] e [[black-basta|Black Basta]]. ## Visão Geral **QakBot** (também conhecido como QBot, Pinkslipbot e QuackBot) e um trojan bancario modular ativo desde **pelo menos 2007** - um dos malwares mais persistentes da historia da cibersegurança. Ao longo de quase duas decadas, evoluıu de simples stealer de credenciais bancarias para uma **plataforma completa de acesso inicial** utilizada por múltiplos grupos de ransomware. Em agosto de 2023, a **Operação Duck Hunt** do FBI desmantelou a infraestrutura do QakBot e removeu o malware de aproximadamente **700.000 sistemas infectados** globalmente - USD 8,6 milhões em criptomoeda confiscados. Entretanto, o QakBot ressurgiu em dezembro de 2023 e continua entre os principais loaders ativos em 2026. | Campo | Detalhe | |-------|---------| | MITRE ID | S0650 | | Ativo desde | ~2007 | | Plataforma | Windows | | Tipo | Loader - Botnet - Banking Trojan | | Disrupcao | Operation Duck Hunt (FBI, agosto 2023) | | Ressurgimento | Dezembro 2023 | | Status 2026 | Ativo - top malware threat | | Operadores | TA551, TA577, Storm-1811 | ## Como Funciona ### Thread Hijacking - Phishing Indetectavel A técnica mais distintiva do QakBot para phishing e o **email thread hijacking** (sequestro de conversa): 1. QakBot rouba threads de email de sistemas comprometidos 2. Responde a conversas legitimas existentes com links maliciosos 3. O destinatario ve uma resposta a uma conversa real que conhece 4. Confiabilidade drasticamente maior que phishing comum Esta técnica e extremamente eficaz pois o email vem de um remetente known, em resposta a uma conversa autentica. ### HTML Smuggling Versoes recentes usam **HTML smuggling** para entrega de payload: - Email contem HTML que decoda payload JavaScript no browser da vitima - Payload e montado no cliente - bypassando filtros de email tradicionais - DLL lateral loading via Regsvr32 (`T1218.010`) ou MSDT ### Arquitetura Modular O QakBot e altamente modular, com componentes independentes: | Módulo | Função | |--------|--------| | Core implant | Persistência, comunicação C2, download de módulos | | Email module | Roubo de threads para thread hijacking | | Worm module | Propagação para hosts na mesma rede | | Credential stealer | Captura de credenciais de browsers e apps | | Loader module | Download e execução de payloads de segunda etapa | ### Comúnicação C2 via DGA O QakBot usa **Domain Generation Algorithms (DGA)** para infraestrutura C2 resiliente: - Gera múltiplos dominios potenciais diariamente - Dificulta bloqueio por blacklist de dominios - Suporte a **rede P2P** entre sistemas infectados como proxies - Proxies externos (`T1090.002`) para mascarar infraestrutura real ### Loader de Segunda Etapa O valor principal do QakBot para grupos criminosos e como **loader para payloads de segunda etapa**: - [[s0154-cobalt-strike|Cobalt Strike]] - para post-exploitacao e movimento lateral - [[s0654-prolock|ProLock]] ransomware - [[s0554-egregor|Egregor]] ransomware - [[black-basta|Black Basta]] ransomware (via Storm-1811) - Outros ransomware sob demanda ## Attack Flow ```mermaid graph TB A["📧 Thread Hijacking Sequestro de email legitimo HTML smuggling ou link"] --> B["💥 DLL Lateral Loading Regsvr32 T1218.010 LOLBin - MSDT bypass"] B --> C["🔧 QakBot Implant Persistência Registry T1547.001 Windows Service T1543.003"] C --> D["📧 Email Theft + Worm Roubo de threads para hijacking Varredura de rede T1018"] D --> E["📡 C2 via DGA + P2P Proxy externo T1090.002 Infraestrutura resiliente"] E --> F["🔧 Cobalt Strike Loader Post-exploitacao Pre-ransomware handoff"] F --> G["💀 Black Basta ou outro RaaS Dupla extorsao Pagamento de resgaté"] classDef delivery fill:#c0392b,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef loader fill:#3498db,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B exploit class C,F install class D recon class E c2 class G impact ``` ## Timeline ```mermaid timeline title QakBot - Quase Duas Decadas de Operação 2007 : Primeiras amostras identificadas : Banking trojan simples 2019-21 : Expansao para loader de ransomware : ProLock e Egregor como payloads 2021-23 : Thread hijacking como técnica principal : HTML smuggling adotado 2023-08 : Operação Duck Hunt - FBI : 700k sistemas limpos - USD 8.6M confiscados 2023-12 : Ressurgimento com novos TTPs : Distribuição via phishing email renovada 2024 : Storm-1811 usa QakBot para Black Basta : Quick Assist social engineering descoberto 2026 : Top malware threat - ainda ativo : IOC analysis publicada por pesquisadores ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Regsvr32 | [[t1218-010-regsvr32\|T1218.010]] | DLL lateral loading via LOLBin | | Hidden Files | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Artefatos ocultos em disco | | System Checks | [[t1497-001-system-checks\|T1497.001]] | Anti-sandbox via verificacoes do sistema | | Remote System Discovery | [[t1018-remote-system-discovery\|T1018]] | Varredura de rede para propagação | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de emails e credenciais | | External Proxy | [[t1090-002-external-proxy\|T1090.002]] | Mascara infraestrutura C2 via proxies | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts de pos-exploitacao | | Security Software Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Detecta e evade AV instalado | | Binary Padding | [[t1027-001-binary-padding\|T1027.001]] | Evade detecção baseada em hash | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Persistência como servico Windows | | DGA | [[t1568-002-domain-generation-algorithms\|T1568.002]] | C2 com dominios gerados dinâmicamente | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via Run keys | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Thread hijacking e HTML smuggling | ## Relevância LATAM O QakBot foi amplamente usado como precursor de ataques de ransomware no Brasil e América Latina, especialmente entre 2020 e 2023. Campanhas de phishing distribuindo QakBot em portugues brasileiro foram documentadas, com foco em empresas dos setores [[financial|Financeiro]] e [[logistics|Logıstico]]. A técnica de **thread hijacking** e particularmente eficaz em ambientes corporativos brasileiros onde email e o principal canal de comunicação - a autenticidade aparente de um email em resposta a uma conversa conhecida tem alta taxa de clique. **Storm-1811 e Black Basta (2024):** A Microsoft documentou o uso de **Quick Assist** (ferramenta legıtima de suporte remoto) como vetor de engenharia social pelo grupo Storm-1811, que usa QakBot como payload inicial antes de deployar Black Basta. Este vetor foi adaptado para alvos em varios idiomas, incluindo potencialmente portugues. Após a derrubada de agosto de 2023, atividade residual e variantes reconstruidas do QakBot continuam sendo monitoradas no Brasil e na regiao. ## Storm-1811 e a Conexão com Black Basta A Microsoft documentou em 2024 como o [[g1046-storm-1811|Storm-1811]] usa QakBot como parte de uma cadeia de ataque sofisticada: 1. Social engineering via Teams ou Quick Assist impersonando suporte de TI 2. Acesso remoto concedido pela vitima (acreditando ser suporte legıtimo) 3. QakBot instalado via acesso Quick Assist 4. [[s0154-cobalt-strike|Cobalt Strike]] deployado para pos-exploitacao 5. [[black-basta|Black Basta]] como payload final de ransomware ## Detecção e Defesa **Detecção por TTPs:** - DLLs executadas via Regsvr32 com parametros incomuns (`/s /u /i:...`) - Trafego de rede com padroes de DGA (dominios aleatorios, TTL curto) - Criação de servicos Windows suspeitos por processos nao-administrativos - Thread hijacking em email: monitorar respostas a emails antigos com links novos **Ferramentas e regras:** - YARA e Sigma públicas em repositorios de threat hunting para QakBot - `sysmon_qbot_regsvr32.yml` - detecção de DLL loading via Regsvr32 - Sandbox de email com detonacao de links: HTML smuggling bypassa filtros estaticos **Mitigacoes:** - Solucoes de sandboxing de links em email (análise comportamental) - Restricao de uso de Regsvr32 para DLLs nao-assinadas - Bloquear acesso a ferramentas de suporte remoto externas (Quick Assist) em ambientes corporativos - MFA em email corporativo para prevenir thread hijacking efetivo - Monitoramento de servicos Windows criados em horarios incomuns ## Grupos que Utilizam - [[g0127-ta551|TA551]] - distribuição massiva via phishing - [[g1037-ta577|TA577]] - campanhas focadas em empresas - [[g1046-storm-1811|Storm-1811]] - handoff para Black Basta via Quick Assist ## Referências - [1](https://attack.mitre.org/software/S0650/) MITRE ATT&CK - S0650 QakBot - [2](https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown) DOJ - Operação Duck Hunt - [3](https://redcanary.com/blog/threat-intelligence/storm-1811-black-basta/) Red Canary - Storm-1811 Black Basta - [4](https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/) Microsoft - Quick Assist social engineering - [5](https://www.namepros.com/articles/qakbot-named-a-2026-top-malware-threat-an-ioc-analysis.1378235/) NamePros - QakBot 2026 top malware IOC analysis --- **Ver também:** [[g1046-storm-1811]] - [[black-basta]] - [[s0154-cobalt-strike]] - [[g0127-ta551]] - [[financial|Financeiro]] - [[logistics|Logistica]] - [[_malware]]