FBI联合国际刑警组织开展猎鸭行动 摧毁感染量达70万的Qakbot僵尸网络 – 蓝点网 - {$web_name} 就会被感染 Qakbot 病毒

Qakbot 是一个臭名昭著的僵尸联网，其背后的黑客团伙经由在网上收集电子邮件地址后，不间断地向这些地址发送包含恶意使用的钓鱼链接，使用者若访问链接并获取管理附件，就会被感染 Qakbot 病毒。

你或许会想为什么有人会访问并管理邮件中提供的关于续集计划，汇总链接和附件呢？这种状况实际上相当正常，由于黑客团伙在发送邮件时也会带上推动类话术，诱导使用者获取使用，比如针对男性群体最普遍的就是号称各类免费看小影片的使用。

据 FBI 亮相的公告，由 FBI 联合海外刑警组织开展代号为猎鸭手术 (Operation Duck Hunt) 的行动，打算摧毁在全球感染量高达 70 万台设备的 Qakbot 僵尸联网。

路由其 C2 办事器然后自动卸载：

直接摧毁 Qakbot 办事器并不能解决使用者已然被感染的 Qakbot 病毒，保不准黑客团伙还有什么后招。所以 FBI 采取的方法是将自己控制的办事器重新路由 Qakbot 的办事器然后发送升级，于是凡是能接到升级的受感染设备的 Qakbot 都会自动获取用于删除 Qakbot 的使用，也就是运用 Qakbot 获得升级删除其自身。

基于可靠考虑，这个用于删除 Qakbot 的毛不易热搜程序还阻断受感染设备与 Qakbot 僵尸联网的通信，这样即便是删除失利 Qakbot 也会维持静默无法再接收远程命令。

Qakbot 普遍的恶意行为含有在受感染设备上窃取信息、部署勒索使用，自然这种广泛撒网式的感染，能够获得的高价值目标并不多，所以多数受感染的戛纳电影节观察设备都变成了肉鸡，首要合作 Qakbot 发起 DDoS 之类的攻击，Qakbot 会对外出租 DDoS 攻击办事，那这些肉鸡获利。

FBI 也强调本次执法行动仅限于 Qakbot，假如使用者设备上还感染了其他恶意使用，那是不会被自动处理的。

FBI 公开 Qakbot 窃取的各类电子邮件地址：

在调研中 FBI 还设法获得了 Qakbot 的若干资料库，其中一份资料库包含 600 多万个使用者电子邮箱，这些邮箱首要就是用来发送各类钓鱼邮件的。

FBI 将资料库共享给了查看账户是否研究的 Have I Been Pwned，使用者经由该站点输入自己的邮箱就可以查看自己的资料是否研究。

Qakbot 自 2008 年着手就一直存在：

本次发起的猎鸭行动除了 FBI 外，海外刑警组织以及法国、德国、荷兰、英国、罗马尼亚、拉脱维亚的执法机构或其他机构也参与其中。

Qakbot 自 2008 年以来就一直存在，在全球感染了至少 70 万台设备，仅在美国就感染了至少 20 万台设备。

美国司法部则是留意到 Qakbot 合作勒索使用开展分发，含有 Conti、REvil、MegaCortex 等，在有关执法行动中美国司法部已然扣押了 Qakbot 860 万美元的加密货币资产。

普通来说这类僵尸联网被摧毁后过段时间还会卷土重来，无非是时间难题。