Recentemente, i ricercatori di cybersecurity hanno scoperto un nuovo malware BackConnect (BC) sviluppato da attori di minaccia legati al noto loader QakBot. Il malware BC è una funzionalità o modulo comune utilizzato dai cybercriminali per mantenere la persistenza e svolgere attività dannose. Secondo il team di Cyber Intelligence di Walmart, i BackConnect in uso erano 'DarkVNC' insieme al BackConnect IcedID (KeyHole).
Il modulo BC è stato individuato sulla stessa infrastruttura che distribuiva un altro loader di malware chiamato ZLoader, recentemente aggiornato per incorporare un tunnel DNS per comunicazioni di Command-and-Control (C2). QakBot, noto anche come QBot e Pinkslipbot, ha subito un grave contraccolpo operativo nel 2023 quando la sua infrastruttura è stata sequestrata durante un'operazione delle forze dell'ordine denominata Duck Hunt. Tuttavia, campagne sporadiche continuano a diffondere il malware.
Originariamente concepito come trojan bancario, QakBot è stato successivamente adattato come loader capace di consegnare payload successivi, come il ransomware, su sistemi bersaglio. Una caratteristica distintiva di QakBot, insieme a IcedID, è il suo modulo BC che offre agli attori di minaccia la possibilità di utilizzare l'host come proxy e di fornire un canale di accesso remoto tramite un componente VNC incorporato.
L'analisi di Walmart ha rivelato che il modulo BC, oltre a contenere riferimenti a vecchi campioni di QakBot, è stato ulteriormente migliorato per raccogliere informazioni di sistema, agendo più o meno come un programma autonomo per facilitare l'exploit successivo. In questo contesto, il malware è una backdoor autonoma che utilizza BackConnect come mezzo per consentire a un attore di minaccia l'accesso diretto al sistema.
Il malware BC è stato anche oggetto di un'analisi indipendente da parte di Sophos, che ha attribuito gli artefatti a un cluster di minacce che traccia come STAC5777, il quale si sovrappone a Storm-1811, un gruppo di cybercriminali noto per sfruttare Quick Assist per l'installazione del ransomware Black Basta, fingendosi personale di supporto tecnico. Sophos ha osservato che i gruppi di minacce STAC5777 e STAC5143 hanno utilizzato email bombing e vishing su Microsoft Teams per ingannare le vittime e ottenere accesso remoto ai loro computer.
Con gli operatori di Black Basta che in passato si sono affidati a QakBot per distribuire il ransomware, l'emergere di un nuovo modulo BC, insieme al fatto che Black Basta ha recentemente distribuito ZLoader, suggerisce un ecosistema di cybercrime altamente interconnesso. Gli sviluppatori dietro QakBot potrebbero supportare il team di Black Basta con nuovi strumenti.
