Qbot, también conocido como Qakbot o QuakBot, es una antigua amenaza de software para los usuarios de Windows que es anterior al primer iPhone, pero aún se está mejorando para lograr una eficiencia nefasta.
El malware surgió en 2007, lo que lo convierte en casi una antigüedad en el nuevo mundo del ransomware dirigido por servicios, pero el malware sigue siendo ágil y eficiente, según el análisis del equipo de seguridad cibernética DFIR de una muestra que sus investigadores encontraron en octubre.
Qbot es conocido por llegar a las PC con Windows a través de correos electrónicos de phishing y explotar errores en aplicaciones clave como el cliente de correo electrónico de Microsoft, Outlook. El malware obtuvo recientemente un módulo que lee hilos de correo electrónico para mejorar la aparente legitimidad del mensaje para las víctimas.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Los operadores del malware se basan en mensajes de phishing en los que se puede hacer clic, incluidos recordatorios de pago de impuestos, ofertas de trabajo y alertas de COVID-19. Puede robar datos de Chrome, Edge, correo electrónico y contraseñas bancarias en línea.
Los investigadores de DFIR analizaron un caso en el que se desconocía el acceso inicial, pero probablemente se entregó a través de un documento de Microsoft Excel contaminado que se configuró para descargar malware de una página web y luego usó una tarea de programación de Windows para obtener un acceso de nivel superior al sistema.
Los autores de Qbot han aprendido a vivir de la tierra utilizando herramientas legítimas de Microsoft. En este caso, utilizó estas herramientas para asaltar una red completa dentro de los 30 minutos posteriores a que la víctima hiciera clic en un enlace en la hoja de Excel.
«Treinta minutos después del acceso inicial, se observó que Qbot recopilaba datos del host principal, incluidos los datos del navegador y los correos electrónicos de Outlook. Aproximadamente 50 minutos después de la infección, el host principal copió un dll de Qbot en una estación de trabajo adyacente, que luego fue ejecutado de forma remota. creando un servicio. Minutos más tarde, el host cabeza de playa hizo lo mismo con otra estación de trabajo adyacente y luego con otra, y antes de que nos diéramos cuenta, todas las estaciones de trabajo en el entorno estaban comprometidas».
El ataque afectó a las PC en la red pero no a los servidores, según DFIR.
Los operadores de Qbot se han diversificado hacia el ransomware. La firma de seguridad Kaspersky informó que el malware Qbot había infectado un 65 % más de PC en los seis meses hasta julio de 2021 en comparación con el año pasado. Microsoft destacó el malware por su diseño modular que lo hace difícil de detectar.
El malware oculta procesos maliciosos y crea tareas programadas para persistir en una máquina. Una vez que se ejecuta en un dispositivo infectado, utiliza múltiples técnicas para el movimiento lateral.
El FBI advirtió que los troyanos Qbot se utilizan para distribuir ProLock, un «ransomware operado por humanos».