لا يزال قراصنة Qakbot يرسلون رسائل غير مرغوب فيها إلى الضحايا على الرغم من إزالة مكتب التحقيقات الفيدرالي

يقول الباحثون إن المتسللين الذين يقفون وراء Qakbot، وهي عملية برمجيات خبيثة سيئة السمعة تم “تفكيكها” مؤخرًا من قبل مكتب التحقيقات الفيدرالي، لا يزالون نشطين ويستمرون في استهداف ضحايا جدد.

وأعلن مكتب التحقيقات الفيدرالي في أغسطس/آب أنه نجح في “تعطيل وتفكيك” البنية التحتية لبرنامج Qakbot الضار طويل الأمد، والذي أصاب أكثر من 700 ألف جهاز في جميع أنحاء العالم وتسبب في أضرار بمئات الملايين من الدولارات. وقال مكتب التحقيقات الفيدرالي في ذلك الوقت إن عملية الإزالة، التي أطلق عليها اسم “عملية Duck Hunt”، شملت الاستيلاء على 52 خادمًا، والتي قالت الوكالة إنها “ستعمل على تفكيك شبكة الروبوتات بشكل دائم”.

على الرغم من هذه الجهود، يواصل المتسللون الذين يقفون وراء برنامج Qakbot الضار إرسال رسائل غير مرغوب فيها إلى ضحايا جدد، وفقًا لبحث جديد أجرته شركة Cisco Talos.

ويقول الباحثون إنهم لاحظوا أن المتسللين ينفذون حملة منذ أوائل أغسطس، حيث قاموا بتوزيع برنامج Ransom Knight Ransomware، وهو عبارة عن علامة تجارية حديثة لعملية Cyclops Ransomware كخدمة، وحصان طروادة Remcos للوصول عن بعد، والذي يوفر للمهاجمين الوصول الكامل إلى جهاز الضحية عن طريق إرسال رسائل البريد الإلكتروني التصيدية. وقد بدأ المهاجمون أيضًا في توزيع البرامج الضارة لسرقة المعلومات RedLine والباب الخلفي Darkgate، حسبما قال الباحث في Talos Guilherme Venere لـ TechCrunch.

وتقول تالوس إنها تقيم “بثقة معتدلة” أن قراصنة تابعين لـ Qakbot هم الذين يقفون وراء هذه الحملة، مشيرة إلى أن أسماء الملفات المستخدمة، إلى جانب موضوعات المسائل المالية العاجلة، تتوافق مع حملات Qakbot السابقة.

ويشير تالوس إلى أن أسماء الملفات الضارة المستخدمة مكتوبة باللغة الإيطالية، مما يشير إلى أن المتسللين يستهدفون في الغالب المستخدمين في تلك المنطقة، مضيفًا أن الحملة استهدفت أيضًا الأفراد الناطقين باللغة الإنجليزية والألمانية. يقول فينير لـ TechCrunch إن تحديد النطاق الحقيقي للحملة أمر صعب، لكنه قال إن شبكة توزيع Qakbot فعالة للغاية ولديها القدرة على دفع حملات واسعة النطاق.

وكان من بين ضحايا قاقبوت السابقين شركة هندسة طاقة مقرها في إلينوي؛ ومنظمات الخدمات المالية الموجودة في ألاباما، وكانساس، وميريلاند؛ شركة تصنيع دفاع مقرها في ولاية ماريلاند؛ وشركة توزيع أغذية في جنوب كاليفورنيا، وفقًا لمكتب التحقيقات الفيدرالي.

وهذه الحملة، التي بدأت قبل إزالة مكتب التحقيقات الفيدرالي، لا تزال مستمرة، وفقًا للباحثين. يشير هذا إلى أن عملية Duck Hunt ربما لم تؤثر على البنية التحتية لتوصيل البريد العشوائي لمشغلي Qakbot، بل أثرت فقط على خوادم القيادة والتحكم (C2)، وفقًا لـ Talos.

وقال فينير: “من المرجح أن يستمر Qakbot في تشكيل تهديد كبير في المستقبل، حيث لم يتم القبض على المطورين ويقدر Talos أنهم ما زالوا يعملون”. وأشار تالوس إلى أن المهاجمين قد يختارون إعادة بناء البنية التحتية لـ Qakbot، مما يمكنهم من استئناف نشاط ما قبل الإزالة بالكامل.

ورفض متحدث باسم مكتب التحقيقات الفيدرالي لم يذكر اسمه التعليق.