Llegamos a ustedes gracias a:



Alertas de Seguridad

Después de una década, el malware de los troyanos Qbot

Consigue nuevos y peligrosos trucos

[02/09/2020] El troyano Qbot ha estado plagando a los usuarios de computadoras y a las empresas durante más de una década, y los ciberdelincuentes que están detrás de él siguen ideando nuevos trucos que lo mantienen como una de las amenazas de malware más frecuentes y exitosas. La última técnica observada por los investigadores de seguridad consiste en que el malware se inserta en los hilos de correo electrónico legítimos de sus víctimas para propagarse.

Qbot, también conocido como Qakbot o Pinkslipbot, comenzó como un troyano bancario centrado en el robo de credenciales bancarias en línea, pero desde entonces ha evolucionado hasta convertirse en una "navaja suiza" que se utiliza con diversos fines, entre ellos la distribución de rasomware, según los investigadores de la empresa de seguridad Check Point Software Technologies, que han seguido las últimas campañas del malware.

A finales del mes pasado, una nueva variante de Qbot comenzó a ser distribuida por otro troyano llamado Emotet como parte de una nueva campaña de spam que afectó a muchas organizaciones en todo el mundo. Esa nueva variante exhibía nuevas características y una nueva infraestructura de comando y control. Esto continuó con una renovada campaña de distribución de Qbot a principios de este mes.

"Uno de los nuevos trucos de Qbot es particularmente desagradable, ya que una vez que una máquina se infecta, activa un 'módulo colector de correo electrónico' especial que extrae todos los hilos de correo electrónico del cliente de Outlook de la víctima, y lo sube a un servidor remoto de código duro", señaló Alex Ilgayev, investigador de Check Point en un nuevo informe. "Estos correos electrónicos robados se utilizan luego para futuras campañas de malware, facilitando que los usuarios sean engañados para que hagan clic en los archivos adjuntos infectados, porque el correo electrónico de spam parece continuar una conversación de correo electrónico legítima existente".

La compañía ha visto hilos de correo electrónico secuestrados en los que Qbot se insertó con temas relacionados con la pandemia de COVID-19, recordatorios de impuestos y reclutamientos de trabajo. Un tercio de las organizaciones a las que se dirigieron las nuevas campañas eran de los EE.UU., pero las organizaciones de Europa también se vieron muy afectadas. Las industrias más afectadas fueron el gobierno, el ejército, la industria manufacturera, los seguros, el sector legal, la salud y la banca.

Cómo se propaga Qbot

La cadena de infección Qbot no es muy sofisticada y ha cambiado desde abril. En el pasado, los correos de spam que entregaban Qbot usaban documentos maliciosos con macros, pero ahora contienen URLs a un archivo .zip que tiene un script de descarga en su interior escrito en VBScript (VBS). Este tipo de scripts solía ejecutarse de forma nativa en Windows en el contexto de Internet Explorer ya que es un lenguaje de scripts desarrollado por Microsoft, pero ha sido desaprobado desde el año pasado después de haber sido abusado por los atacantes durante años. Sin embargo, los atacantes saben que muchas empresas siguen utilizando versiones antiguas de Windows e Internet Explorer que carecen de las últimas características de seguridad y actualizaciones.

El descargador VBS utilizado por Qbot tiene rutinas que detectan máquinas virtuales y sandoboxs de análisis y saca una carga útil .exe de seis URLs de código duro. Si la carga útil se ejecuta con éxito, despliega el malware de Qbot en la computadora.

La parte más destacada y más nueva de la cadena de distribución de Qbot es el secuestro de hilos de correo electrónico, lo que da mayor credibilidad a los mensajes de spam. Los ejemplos proporcionados por Check Point incluyen un hilo de correo electrónico sobre la continuidad del negocio durante COVID-19, un tema en el que muchas organizaciones probablemente estén interesadas. Otro fue una respuesta a un correo electrónico de reclutamiento de personal que buscaba un desarrollador con experiencia en C#, Java y PowerShell. Las URLs dentro de los correos electrónicos fraudulentos apuntaban a archivos .zip alojados en sitios pirateados de WordPress.

La arquitectura modular de Qbot

El malware Qbot es modular con componentes individuales que manejan diferentes características. Los nuevos módulos que los investigadores de Check Point identificaron incluyen:

  • Un módulo utilizado para comunicarse con los servidores de comando y control y ejecutar los comandos recibidos de él.
  • Un módulo de recolección de correo electrónico para robar hilos de correo electrónico de Outlook.
  • Un módulo de enganche para inyectar formularios web en las sesiones de navegación.
  • Un módulo de robo de contraseñas.
  • Un plug-in VNC que permite a los atacantes abrir conexiones de escritorio remoto a las computadoras de las víctimas.
  • Un módulo de captura de cookies que roba las cookies de autenticación de los navegadores que luego se pueden utilizar para secuestrar sesiones.
  • Un módulo actualizador.
  • Un módulo proxy.

"Una vez que la víctima ha sido infectada, su computadora se ve comprometida, y también son una amenaza potencial para otras computadoras en la red local debido a las capacidades de movimiento lateral de Qbot", anotó Ilgayev. "El malware comprueba entonces si la víctima puede ser también un potencial bot como parte de la infraestructura de Qbot".

Los nuevos hallazgos destacan que Qbot sigue siendo una amenaza peligrosa, posiblemente incluso más que antes. Es improbable que el troyano desaparezca en breve, ya que los ciberdelincuentes que lo controlan siguen interesados en desarrollarlo y en añadir nuevas características y técnicas. Las organizaciones deberían prestar más atención a las infecciones con bots como Emotet o Qbot, ya que se utilizan como plataformas de distribución de otro malware y a menudo sirven como puerta de entrada para el rescate en las redes corporativas.