También está equipado con un mecanismo separado para reclutar las máquinas comprometidas en una botnet
Un notorio troyano bancario destinado a robar credenciales de cuentas bancarias y otra información financiera ha regresado ahora con nuevos trucos bajo la manga para atacar a los sectores gubernamental, militar y manufacturero en los EE. UU. y Europa, según una nueva investigación.
En un análisis publicado ayer por Check Point Research, la última ola de actividad de Qbot parece haber coincidido con el regreso el mes pasado de Emotet, otro malware basado en correo electrónico detrás de varias campañas de spam impulsadas por botnets y ataques de ransomware, con la nueva variante capaz de recopilar de forma encubierta todos los hilos de correo electrónico del cliente Outlook de la víctima y usarlos para campañas posteriores de malspam.
"En estos días, Qbot es mucho más peligroso que antes: tiene una campaña activa de malspam que infecta a las organizaciones y se las arregla para utilizar una infraestructura de infección de 'terceros' como la de Emotet para extender aún más la amenaza", dijo la firma de ciberseguridad.
Uso como señuelos de hilos de correo electrónico secuestrados
Documentado por primera vez en 2008, Qbot (también conocido como QuakBot, QakBot o Pinkslipbot) ha evolucionado a lo largo de los años de un ladrón de información a una experta "navaja suiza" en la entrega de otros tipos de malware, incluido el ransomware Prolock, e incluso conectarse de forma remota al sistema Windows de un objetivo para realizar transacciones bancarias desde la dirección IP de la víctima.
Los atacantes suelen infectar a las víctimas mediante técnicas de phishing para atraerlas a sitios web que utilizan exploits para inyectar Qbot a través de un cuentagotas (dropper).
Una ofensiva de malspam observada en junio por F5 Labs descubrió que el malware estaba equipado con técnicas de detección y evasión de investigación con el objetivo de evadir el examen forense. Luego, la semana pasada, Morphisec desempaquetó una muestra de Qbot que venía con dos nuevos métodos diseñados para eludir los sistemas de Desarmado y Reconstrucción de Contenido (CDR) y Detección y Respuesta de Endpoint (EDR).
La cadena de infección detallada por Check Point sigue un patrón similar.
El primer paso comienza con un correo electrónico de phishing especialmente diseñado que contiene un archivo ZIP adjunto o un enlace a un archivo ZIP que incluye un Visual Basic Script (VBS) malicioso, que luego procede a descargar cargas útiles adicionales responsables de mantener un canal de comunicación adecuado con un servidor controlado por el atacante y ejecutar los comandos recibidos.
En particular, los correos electrónicos de phishing enviados a las organizaciones objetivo, que toman la forma de señuelos COVID-19, recordatorios de pago de impuestos y reclutamiento de trabajo, no solo incluyen el contenido malicioso, sino que también se insertan con hilos de correo electrónico archivados entre las dos partes para prestar un aire de credibilidad.
Para lograr esto, las conversaciones se recopilan de antemano mediante un módulo de recopilación de correo electrónico que extrae todos los hilos de correo electrónico del cliente Outlook de la víctima y los carga en un servidor remoto codificado.
Además de empaquetar componentes para obtener contraseñas, cookies del navegador e inyectar código JavaScript en sitios web bancarios, los operadores de Qbot lanzaron hasta 15 versiones del malware desde principios de año, y la última versión conocida se lanzó el 7 de agosto.
Además, Qbot viene con un complemento hVNC que hace posible controlar la máquina víctima a través de una conexión VNC remota.
"Un operador externo puede realizar transacciones bancarias sin el conocimiento del usuario, incluso mientras está conectado a su computadora", señaló Check Point. "El módulo comparte un alto porcentaje de código con módulos similares como hVNC de TrickBot".
De una máquina infectada a un servidor de control
Eso no es todo. Qbot también está equipado con un mecanismo separado para reclutar las máquinas comprometidas en una botnet mediante el uso de un módulo proxy que permite que la máquina infectada se utilice como servidor de control.
Con Qbot secuestrando hilos de correo electrónico legítimos para propagar el malware, es esencial que los usuarios monitoreen sus correos electrónicos en busca de ataques de phishing, incluso en los casos en que parecen provenir de una fuente confiable.
"Nuestra investigación muestra cómo incluso las formas más antiguas de malware se pueden actualizar con nuevas características para convertirlas en una amenaza peligrosa y persistente", dijo Yaniv Balmas de Check Point Research. "Los actores de amenazas detrás de Qbot están invirtiendo fuertemente en su desarrollo para permitir el robo de datos a una escala masiva de organizaciones e individuos".
"Hemos visto campañas activas de malspam que distribuyen Qbot directamente, así como el uso de infraestructuras de infección de terceros como la de Emotet para extender aún más la amenaza", agregó Balmas.