Qakbotとは【用語集詳細】
Qakbot(別名Qbot, QuackBot)は、2008年頃から観測されているバンキング型トロイの木馬です。侵入したシステムから銀行口座関連のデータや、キー入力、ログイン情報などを盗み取ります。様々なランサムウェアが、システムを侵害するためのドロッパーとしてQakbotを利用しています。
これまでにBlackBasta、EgregorなどのランサムウェアによるQakbotの利用が確認されています。
最終的なランサムウェア配送の前段階では、CobaltStrikeやBruteRatel等のデュアルユースツールもペイロードとして利用されます。
Qakbotは、フィッシングメールに添付されたHTMLファイルを通じて悪性プログラムやコードを配布するHTMLスマグリングを利用します。また、HTMLファイルに埋め込まれるファイルとしてディスクイメージ(.iso)や仮想ハードディスク(.vhd)などが確認されています。
さらに、2023年2月には、添付ファイルとして悪性OneNoteファイル(.one)を利用しメールを配信していることが確認されました。
フィッシングメールの文面は、窃取したメールアカウントのデータを利用しているため、ユーザーは不審に思わずにクリックしてしまう傾向があります。
その後も、フィッシングメールの改修が続けられ、2023年4月にはPDF型式および難読化されたWSF(Windows Script File)形式の添付ファイルを組み合わせて使い始めました。報道では、PDF実行後のユーザー操作を通じてWSFがC2サーバーからダウンロードされ、実行すると最終的に悪性PowerShellコマンドが呼び出されます。
2023年8月、米国司法省が多国籍作戦によるQakbotマルウェアおよびボットネットのテイクダウンを発表しました。