Llegamos a ustedes gracias a:



Alertas de Seguridad

El malware de Qbot resurge

En un nuevo ataque contra las empresas

[05/03/2019] El malware financiero Qbot, que ya lleva diez años en existencia, ha resurgido con una versión mejorada en un nuevo ataque contra las empresas, que ha infectado miles de sistemas hasta ahora. Investigadores del proveedor de soluciones de seguridad de datos Varonis han descubierto el ataque después de que un cliente les alertó sobre actividades sospechosas en una computadora. El culpable resultó ser una infección con una nueva cepa de Qbot, también conocida como Qakbot, que intentaba propagarse a otros sistemas de la red.

Qbot es una de las familias de malware más exitosas de la última década, en parte porque su código fuente está disponible para los ciberdelincuentes, por lo que puede modificarse y ampliarse fácilmente. El programa malicioso comenzó como un troyano diseñado para robar credenciales de banca en línea, pero ha recibido muchas mejoras a lo largo de los años.

Qbot es una amenaza semipolimórfica porque sus servidores de mando y control reescriben el código y la configuración periódicamente para evitar la detección antivirus basada en firmas. La amenaza también tiene capacidades similares a las de un gusano que le permiten moverse lateralmente a través de las redes corporativas, forzando de forma bruta las credenciales de dominio de Windows.

Cómo funciona el nuevo ataque Qbot

En el ataque investigado por Varonis, el instalador inicial o "dropper" fue probablemente entregado como un archivo adjunto de correo electrónico con la extensión .doc.vbs. VBS es un lenguaje de scripting soportado de forma nativa en Windows.

Si se ejecuta, el script malicioso descarga el cargador Qbot desde un servidor de comandos y control usando la herramienta de línea de comandos de Windows BITSAdmin. Las versiones anteriores de Qbot utilizaban PowerShell para este propósito, pero dado que PowerShell se ha convertido en un método común de entrega de malware, su uso se supervisa de cerca en los sistemas empresariales. "El cargador, que ejecuta el núcleo del malware, tiene múltiples versiones y se actualiza constantemente incluso después de la ejecución", señalaron los investigadores de Varonis en su informe.

La versión recibida por la víctima depende de un parámetro codificado en el archivo VBS, por lo que es posible que existan diferentes campañas de correo electrónico dirigidas a diferentes tipos de usuarios y organizaciones. Además, Varonis ha encontrado cargadores que fueron firmados digitalmente con ocho certificados de firma de código diferentes que probablemente fueron robados de varias entidades.

Si un archivo está firmado digitalmente, no significa que no sea malicioso, al igual que si un sitio web utiliza HTTPS, no significa que no esté alojando malware o páginas de phishing. Sin embargo, los archivos firmados digitalmente activan advertencias menos aterradoras en Windows y, en ocasiones, los agentes de seguridad de endpoints mal configurados o las soluciones de listas blancas de archivos confían en ellos de forma automática.

Una vez instalado, Qbot crea tareas programadas y añade entradas al registro del sistema para lograr la persistencia. A continuación, el malware comienza a registrar todas las pulsaciones de teclas tecleadas por los usuarios, roba las credenciales y las cookies de autenticación guardadas en los navegadores, e inyecta código malicioso en otros procesos para buscar y robar cadenas de texto relacionadas con las finanzas.

Varonis obtuvo acceso a uno de los servidores de mando y control utilizados por los atacantes y encontró registros que mostraban 2.726 direcciones IP de víctimas únicas. Más de 1.700 fueron localizados en los Estados Unidos, pero también se encontraron víctimas en Canadá, el Reino Unido, Alemania, Francia, Brasil, Sudáfrica, India, China y Rusia.

Dado que las computadoras dentro de una organización normalmente acceden a Internet a través de una dirección IP compartida, los investigadores creen que el número de sistemas infectados individualmente es mucho mayor. Además, los registros mostraron que muchos de los sistemas comprometidos tenían instalados programas antivirus de varios proveedores, lo que pone de relieve una vez más la capacidad de Qbot de eludir la detección de antivirus.