Nova versão do Qbot pode sequestrar threads de email
O cenário de ameaças online é um lugar muito peculiar. Ele muda e muda o tempo todo, e vemos novos nomes surgindo enquanto os antigos desaparecem a cada dia. À luz de tudo isso, você pode esperar que uma família de malware que apareceu há mais de dez anos não fosse nada mais do que uma memória distante. Como os pesquisadores da Check Point apontaram ontem, no entanto, o cavalo de Troia Qbot banking é a prova de que nem sempre é esse o caso.
Também conhecido como QakBot, apareceu pela primeira vez em 2008, mas doze anos depois, ainda está forte. Inicialmente, a funcionalidade do Qbot girava em torno do roubo de senhas de bancos e outros dados confidenciais, mas como os pesquisadores apontaram, ao longo dos anos, ele ganhou uma gama tão diversa de recursos adicionais, que às vezes é referido como o "canivete suíço" do malware . Isso não significa que os autores do Qbot vão parar por aqui. Na verdade, o objetivo do relatório da Check Point era detalhar as atualizações mais recentes do cavalo de Tróia.
Você pode ensinar novos truques a um bot antigo
Entre março e junho, o Qbot estava no meio de uma grande campanha, mas então parou de se espalhar e os especialistas pensaram que os operadores do malware haviam dado uma pausa para adicionar alguns ajustes e ajustes. Eles esperavam que a atualização demorasse um pouco mais, mas no final de julho, o infame trojan Emotet iniciou uma campanha massiva de malspam e muitas das mensagens maliciosas traziam uma nova versão do Qbot. Em questão de dias, os operadores do Qbot lançaram mais uma versão, com ainda mais recursos novos. É uma grande campanha e, graças a um novo módulo, os hackers querem garantir que grande parte das pessoas que recebem o e-mail acabem infectadas com o malware.
Na maior parte, a infecção é praticamente uma operação padrão do Qbot. A vítima recebe um e-mail com um link para um arquivo ZIP hospedado em um site WordPress comprometido. Dentro do ZIP, o usuário encontra um arquivo que, se aberto, desencadeia a infecção. Até abril, os operadores do Qbot colocavam documentos do Word com macro dentro de ZIPs maliciosos, mas desde então eles mudaram para Visual Basic Scripts (VBS). O VBS entra em contato com um dos sites de distribuição e baixa a carga inicial, que define o cenário para o trojan real. A carga inicial executa algumas verificações para garantir que não esteja em execução em um ambiente de sandbox e faz algumas alterações no registro para obter persistência. Finalmente, quando tiver certeza de que é seguro continuar, ele implementa a carga útil principal do Qbot.
As atualizações mais recentes realmente não trouxeram grandes mudanças. O Qbot ainda pode roubar senhas, detalhes de cartão de crédito e outras informações confidenciais. Ele pode se conectar à conta bancária da vítima e fazer transações em seu nome, e também pode instalar outros tipos de malware, se for instruído a fazê-lo.
Os especialistas disseram que viram alguns outros módulos que ajudam no movimento lateral em uma rede, mas decidiram não entrar em detalhes porque viram uma nova funcionalidade que era mais notável.
Qbot pode sequestrar suas conversas de e-mail
O novo módulo é projetado para roubar threads inteiros dos clientes de e-mail do Outlook da vítima. Isso já é uma má notícia porque, embora os especialistas tenham alertado sobre os perigos de compartilhar informações confidenciais por e-mail, as pessoas continuam a preencher suas mensagens com dados que podem causar danos extremos se caírem em mãos erradas.
Os hackers não estão roubando tópicos de e-mail das pessoas porque querem as informações dentro delas. Eles estão fazendo isso para poderem responder em nome da vítima que já foi infectada com Qbot e enganar o outro participante da conversa para que ele também instale o malware. Os especialistas da Check Point disseram que viram criminosos sequestrando tópicos de e-mail e enviando links maliciosos em mensagens que envolviam qualquer coisa, desde a pandemia do COVID-19 até lembretes de pagamento de impostos.
Este é um dos movimentos mais inteligentes dos hackers. As pessoas agora são cautelosas o suficiente com emails que distribuem malware e tendem a ser um pouco mais cuidadosas com as mensagens que encontram em suas caixas de entrada. Se os links vierem de uma pessoa que eles conhecem e com quem já se comunicaram, é muito mais provável que os alvos cliquem neles.
A última atualização do Qbot não altera a funcionalidade principal do malware, mas, apesar disso, mostra que seus operadores estão longe de desistir dele. Embora já tenha mais de uma década, é mais formidável do que nunca.
