El troyano bancario Qbot regresa

22 Junio 2020
Alto

El troyano bancario Qbot está regresando con nuevas características y capacidades que le permiten robar de manera más efectiva los datos financieros y las credenciales de las víctimas, según F5 Labs.

Qbot, un troyano bancario activo desde 2008, está de vuelta en el negocio para apuntar a clientes de instituciones financieras principalmente estadounidenses, con nuevas funciones y capacidades de sigilo. En los últimos 12 años, este malware ha recibido varios nombres, incluidos QakBot y Pinkslipbot. A pesar de todas las variaciones y evoluciones, el objetivo principal de Qbot sigue siendo el mismo: recopilar actividad de navegación y robar credenciales de cuenta bancaria y otra información financiera. 

Nueva campaña

Hasta ahora, los clientes de unos 36 bancos y compañías de servicios financieros, incluidas empresas en los EE.UU., Canadá y Países Bajos, han sido blanco de esta campaña, según F5 Labs.

Qbot generalmente se propaga con correos electrónicos de phishing que atraen a las víctimas a sitios web maliciosos a través de enlaces incrustados en los mensajes.

Proceso de infección de Qbot

Así es como la nueva variante de Qbot logra su proceso de infiltración:

  • Qbot se carga en la memoria de explorer.exe en ejecución desde un ejecutable introducido mediante phishing, un dropper de exploit o un recurso compartido de archivos abierto.
  • Qbot se copia en la ubicación predeterminada de la carpeta de la aplicación, como se define en la clave de registro% APPDATA%.
  • Qbot crea una copia de sí mismo en la clave de registro específica HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run para ejecutarse cuando el sistema se reinicia.
  • Qbot suelta un archivo .dat con un registro de la información del sistema y el nombre de la botnet.
  • Qbot ejecuta su copia desde la carpeta% APPDATA% y, para cubrir sus pistas, reemplaza el archivo infectado originalmente por uno legítimo.
  • Por último, Qbot crea una instancia de explorer.exe y se inyecta en él. Los atacantes luego usan el proceso de explorer.exe siempre en ejecución para actualizar Qbot desde su servidor externo de comando y control.

Panorama

Qbot ha existido durante una docena de años con prácticamente las mismas funcionalidades: keylogging y extracción de datos personales de sus víctimas, explotando el factor humano para lograr infiltrarse en sus víctimas. Nuevamente estamos presentes ante metodologías poco complejas que logran explotar exitosamente sistemas gracias a las altas probabilidades de éxito en el cumplimiento de sus objetivos al enfocarse en el eslabón más débil de la cadena, el clic humano, para lo cual solo hay una proteción efectiva: la concienciación.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #qbot #malware #Qakbot #bancario #troyano #Pinkslipbot #Quakbot


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.