Visszatért a Qakbot
Visszatért a QakBot, miután a botnetet a nyáron a bűnüldöző szervek megszakították, és a malware-t ismét adathalász kampányokban terjesztik. 2023. augusztusban az Operation Duck Hunt nevű nemzetközi bűnüldözési művelet során a bűnüldöző szervek hozzáfértek a QakBot admin szervereihez, és feltérképezték a botnet infrastruktúráját. Miután hozzáférést szereztek a botnet rosszindulatú szoftverek kommunikációjához használt titkosítási kulcsaihoz, az FBI képes volt eltéríteni a botnetet, hogy egy egyedi Windows DLL modult juttasson el a fertőzött eszközökre. Ez a DLL olyan parancsot hajtott végre, amely megszüntette a QakBot malware-t, és ezzel hatékonyan megszakította a botnet kiterjedt működését.
A Microsoft az X-en tett közzé figyelmeztetést, hogy a QakBot-ot ismét egy adathalász kampányban terjesztik, amit egy IRS alkalmazott e-mailjének álcáznak. A Microsoft először december 11-én figyelte meg az adathalász-támadást egy kisebb, a vendéglátóipart célzó kampányban. Az e-mailhez csatolt PDF-fájl látszólag egy vendéglista, és azt írja, hogy “A dokumentum előnézete nem elérhető”, majd arra kéri a felhasználót, hogy töltse le a PDF-et a megtekintéshez. A letöltés gombra kattintva azonban a címzettek egy MSI-t töltenek le, amely telepítéskor a Qakbot malware DLL-t indítja el a memóriában. A Microsoft szerint a DLL-t december 11-én generálták, ugyanazon a napon, amikor az adathalászkampány elindult, és a “tchk06” kampánykódot, valamint a 45.138.74.191:443 és a 65.108.218.24:443 címeken található parancs- és vezérlőszervereket (C2) használja.