Saya baru baca2 tulisan tentang malware Qakbot. Dia melakukan reverse enginering terhadap Qakbot. Qakbot ini salah satu trojan banking yang banyak ditemukan. Banking trojan kerjanya nyuri login dan password ebanking (banking credential). Walaupun sekarang banyak gang cybercrime yang nambahin fiturnya misalnya dengan fungsi ransomware, backdoor dll. Qakbot ini punya juga teknik anti analysis, misalnya deteksi VM, bisa update secara berkala, dan bisa ngerubah cryptor maupun packernya. Fitur lainnya dia bisa nyuri email. Biasanya digunakan buat ngirim email ke korban.

Qakbot umumnya menyebar melalui spam. Penyerang ngirim email ke korban dengan attachment dokumen office (word, excel) atau file zip dengan password. Dokumen ini menggunakan makro, dan sering ditulis memiliki informasi penting (misalnya invoice, tagihan). Pada beberapa kasus, emailnya memiliki link ke web lain.

Selain itu ada kasus lain dimana Qakbot, diunduh oleh malware lainnya. Securelist melaporkan bahwa penyerang melakukan reconnaissance (mengumpulkan info) terlebih dahulu tentang target sebelum memasang malware.

Analisa lengkap dari securelist bisa dilihat disini:

QakBot technical analysis

Laporan reverse engineering kasua tentang Qakbot Stager. Stager adalah file kecil yang biasanya digunakan penyerang sebagai serangan pertama (initial payload). Stager ini kemudian digunakan untuk mempersiapkan atau mengunduh payload berikutnya.

https://github.com/NtQuerySystemInformation/Malware-RE-papers/blob/main/Qakbot%20report.pdf

Laporan trendmicro:

https://www.trendmicro.com/en_us/research/21/l/staging-a-quack-reverse-analyzing-fileless-qakbot-stager.html

laporan mcafee:

https://kc.mcafee.com/corporate/index?page=content&id=KB95389&locale=en_US

kumpulan referensi tentang qakbot dari fraunhofer:

https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot

Semoga Bermanfaat!