El troyano Qbot resurge con una nueva técnica de infección por phishing

  • Endpoint

Las víctimas reciben un email que contiene un enlace a lo que parece ser un documento online. El correo electrónico elude el filtro antispam aparentando ser la respuesta a una correspondencia comercial preexistente. Entre sus víctimas hay corporaciones europeas.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Qbot, un troyano de robo de información que ha existido durante 10 años, ha resurgido nuevamente con una nueva técnica de infección basada en phishing que es capaz de evadir las defensas antispam. Varonis Security Research descubrió la nueva campaña de Qbot en marzo. Los investigadores han identificado positivamente a 2.726 víctimas, basándose en un análisis de uno de los servidores del atacante. Sin embargo, sospechan que el número real de víctimas es mucho mayor.

Qbot, también conocido como QakBot, es conocido por su comportamiento polimórfico y sus tendencias parecidas a los gusanos, como la capacidad de auto replicarse a través de unidades compartidas y medios extraíbles. En esta ocasión, QBot se ha extendido a través de una campaña de phishing dirigida a corporaciones estadounidenses y también a víctimas en Europa, Asia y América del Sur.

El mecanismo de entrega para esta variante de Qbot es a través de campañas de phishing, donde las víctimas reciben un correo electrónico que contiene un enlace a lo que parece ser un documento online. El correo electrónico pretende ser un hilo de correo electrónico existente, bajo el pretexto de responder a una correspondencia comercial preexistente, logrando evitar así los filtros antispam. El objetivo de los ataques es robar información financiera, incluidas las credenciales de las cuentas bancarias.

La técnica de infección es típica. Un correo electrónico de phishing llega con un enlace a un archivo de Microsoft OneDrive que entrega una edición de secuencias de comandos de Microsoft Visual Basic (VBScript) en un archivo comprimido ZIP. Si se abre el archivo, el ataque genera la utilidad legítima BITSAdmin de Windows. Eso activa otra utilidad nativa de Windows, Wscript.exe, que se utiliza para descargar el archivo de malware "august.png" de Qbot desde el servidor del atacante.

Varonis observó que los ataques Qbot anteriores habían utilizado macros de documentos de Word maliciosos en una etapa de los ataques. Los investigadores señalaron que esta variante es única porque el malware utiliza BITSAdmin para descargar el cargador.