חוקרים ישראלים ממעבדות המחקר של חברת הסייבר קספרסקי (Kaspersky) זיהו בחודשים האחרונים עלייה חריגה בפעילות של "QakBot" - סוס טרויאני שתוקף ארגונים פיננסיים ובעיקר בנקים. בשבעת החודשים הראשונים של 2021 נרשמה עלייה של 65% בפעילות של QakBot לעומת התקופה המקבילה אשתקד, ונרשמו מעל 17 אלף מתקפות שלו ברחבי העולם.

QakBot התגלה לראשונה בשנת 2007 ותקף אינספור ארגונים לאורך שנות פעילותו, בעיקר בתחומי הפיננסים. על רקע חזרתו לפעילות מוגברת בחודשים האחרונים זיהו חוקרי קספרסקי כי הגורמים העומדים מאחורי QakBot עדכנו ושיפרו את התוכנה הזדונית והשקיעו בפיתוח יכולות חדשות ומתוחכמות שטרם נראו בעולם הסוסים הטרויאניים. הגרסה החדשה של QaKBot הפכה לדבריהם לאחד מכלי התקיפה המסוכנים ביותר מסוגו.

סוסים טרויאנים מדביקים בדרך כלל את המחשב של הקורבן ומאפשרים לתוקפים לגנוב כספים מחשבונות בנק או ארנקים דיגיטליים. היכולות ה"קלאסיות" שלהם כוללות יכולת לצותת להקשות מקלדת, לגנוב קבצי קוקיז וסיסמאות ולגנוב פרטי login של המשתמשים. כעת מתברר שאחת מהיכולות החדשות QakBot היא לזהות ניסיונות ניטור של כלי סייבר ולהיכנס לסוג של "תרדמת".  

ברגע שהרוגלה מזהה שמתבצע ניסיון לניטור והפסקת הפעילות שלה (בין אם מדובר בניסיון של מערכת אבטחה אוטומטית או ניסיון ניטור של מומחה סייבר חיצוני), הרוגלה מסוגלת לצמצם את פעילותה ואף להפסיקה לגמרי, עד כדי כך שהיא לא תזוהה כלל במהלך הליך הניטור, אפילו שבפועל היא נמצאת על גבי המכשיר המותקף. יכולת חדשה נוספת שזיהו החוקרים היא לגנוב כתובות דוא"ל מהחשב המותקף, כדי שישמשו מאוחר יותר את התוקפים לתקיפות הנדסה חברתית או פישינג, ולנסות להרחיב את היקף פעילותה על ידי ניצול רשימת אנשי הקשר של המחשב המותקף.

חיים זיגל, מנתח רוגלות במעבדות קספרסקי: "QakBot ככל הנראה לא יפסיק את פעילותו בקרוב. רוגלה זו מתעדכנת באופן תדיר, והיא ממשיכה להרחיב את ארסנל היכולות שלה עם טכנולוגיות חדשות על מנת לאפשר לתוקפים למקסם רווחים ולגנוב מידע רגיש ופרטים אישיים. בעבר, ראינו את QakBot מופץ באמצעות רשת רוגלות הסייבר Emotet, שהורדה מפעילות בתחילת השנה, אך יחד עם זאת - ולאור העלייה הברורה בהיקף ההתקפות של QakBot - נראה שהרוגלה מצאה דרך חדש להפיץ את עצמה ברחבי העולם".