La nueva versión de Qbot puede secuestrar hilos de correo electrónico

Qbot Latest Version Hijacks Email Threads

El panorama de las amenazas en línea es un lugar muy peculiar. Cambia y cambia todo el tiempo, y vemos que entran nuevos nombres mientras que los viejos abandonan todos los días. A la luz de todo esto, cabría esperar que una familia de malware que apareció hace más de diez años ahora no sea más que un recuerdo lejano. Sin embargo, como señalaron ayer los investigadores de Check Point, el troyano bancario Qbot es una prueba de que no siempre es así.

También conocido como QakBot, apareció por primera vez en 2008, pero doce años después, sigue siendo fuerte. Inicialmente, la funcionalidad de Qbot giraba en torno al robo de contraseñas bancarias y otros datos confidenciales, pero como señalaron los investigadores, a lo largo de los años, ha adquirido una gama tan diversa de características adicionales, que a veces se la conoce como la "navaja suiza" del malware. . Sin embargo, esto no significa que los autores de Qbot vayan a detenerse aquí. De hecho, el propósito del informe de Check Point era detallar las actualizaciones más recientes del troyano.

Puedes enseñarle nuevos trucos a un viejo bot

Entre marzo y junio, Qbot estuvo en medio de una gran campaña, pero luego dejó de propagarse y los expertos pensaron que los operadores del malware le habían dado un respiro para agregar algunos retoques y ajustes. Esperaban que la actualización demorara un poco más, pero a fines de julio, el infame troyano Emotet inició una campaña masiva de spam, y muchos de los mensajes maliciosos llevaban una nueva versión de Qbot. En cuestión de días, los operadores de Qbot lanzaron otra versión, con aún más funciones nuevas. Es una gran campaña y, gracias a un nuevo módulo, los piratas informáticos quieren asegurarse de que una gran parte de las personas que reciben el correo electrónico terminen infectadas con el malware.

En su mayor parte, la infección es prácticamente una operación estándar de Qbot. La víctima recibe un correo electrónico con un enlace a un archivo ZIP alojado en un sitio web de WordPress comprometido. Dentro del ZIP, el usuario encuentra un archivo que, si se abre, desencadena la infección. Hasta abril, los operadores de Qbot colocaban documentos de Word con macros dentro de los ZIP maliciosos, pero desde entonces han cambiado a Visual Basic Scripts (VBS). El VBS se pone en contacto con uno de los sitios de distribución y descarga la carga útil inicial, que prepara el escenario para el troyano real. La carga útil inicial realiza un par de comprobaciones para garantizar que no se esté ejecutando en un entorno de espacio aislado y realiza algunos cambios en el registro para lograr la persistencia. Finalmente, cuando está seguro de que es seguro continuar, implementa la carga útil principal de Qbot.

Las actualizaciones más recientes realmente no trajeron cambios importantes. Qbot aún puede robar contraseñas, detalles de tarjetas de crédito y otra información confidencial. Puede iniciar sesión en la cuenta bancaria de la víctima y realizar transacciones en su nombre, y también puede instalar otras cepas de malware si se le indica.

Los expertos dijeron que vieron algunos otros módulos que ayudan con el movimiento lateral a través de una red, pero decidieron no dar más detalles porque vieron una nueva funcionalidad que era más notable.

Qbot puede secuestrar sus conversaciones de correo electrónico

El nuevo módulo está diseñado para robar hilos completos de los clientes de correo electrónico de Outlook de la víctima. Esto ya es una mala noticia porque, aunque los expertos han estado advirtiendo sobre los peligros de compartir información confidencial por correo electrónico, las personas continúan llenando sus mensajes con datos que pueden causar daños extremos si caen en las manos equivocadas.

Sin embargo, los piratas informáticos no roban los hilos de correo electrónico de las personas porque quieren la información dentro de ellos. Lo están haciendo para poder responder en nombre de la víctima que ya ha sido infectada con Qbot y engañar al otro participante en la conversación para que también instale el malware. Los expertos de Check Point dijeron que han visto a los delincuentes secuestrar hilos de correo electrónico y enviar enlaces maliciosos en mensajes que giran en torno a cualquier cosa, desde la pandemia de COVID-19 hasta recordatorios de pago de impuestos.

Este es uno de los movimientos más inteligentes de los hackers. Las personas ahora son lo suficientemente cautelosas con los correos electrónicos que distribuyen malware y tienden a ser un poco más cuidadosos con los mensajes que encuentran en sus bandejas de entrada. Sin embargo, si los enlaces provienen de una persona que conocen y con la que ya se han comunicado, es mucho más probable que los destinatarios hagan clic en ellos.

La última actualización de Qbot no cambia la funcionalidad principal del malware, pero a pesar de esto, muestra que sus operadores están lejos de darse por vencidos. Aunque ahora tiene más de una década, es más formidable que nunca.

August 28, 2020

Deja una respuesta