Recentemente, uma nova onda de mensagens de phishing distribuindo o malware QakBot foi observada, mais de três meses após uma operação policial ter desmantelado sua infraestrutura de rede e comando e controle (C2).

A Microsoft, que fez a descoberta, descreveu-a como uma campanha de baixo volume que começou em 11 de dezembro de 2023, visando a indústria de hospitalidade. Os alvos receberam um PDF de um usuário se passando por um funcionário do IRS. O PDF continha uma URL que baixava um instalador do Windows digitalmente assinado (.msi).

A execução do MSI levou à invocação do Qakbot usando a execução de exportação ‘hvsi’ de uma DLL embutida. A Microsoft informou que o payload foi gerado no mesmo dia em que a campanha começou e que está configurado com a versão inédita 0x500. Tradicionalmente distribuído por meio de mensagens de e-mail spam contendo anexos maliciosos ou hiperlinks, o QakBot é capaz de coletar informações sensíveis, além de entregar malware adicional, incluindo ransomware.