Nuevas Técnicas de QakBot

El troyano bancario QBot, también conocido como Qakbot o Pinkslipbot, es conocido por los investigadores de ciberseguridad desde 2008, y sigue engañando a las empresas con campañas emergentes que demuestran sus elaboradas capacidades de sigilo.

Otra campaña de phishing que entrega el documento malicioso ha atraído la atención de los investigadores. El último ataque de QakBot es notable por entregar un archivo ZIP con un documento, no un archivo adjunto de Microsoft Word. El documento comprimido incluye una macro que ejecuta un script de PowerShell que, a su vez, descarga la carga útil de QakBot desde la URL predefinida. 

Ya advertimos a nuestros lectores sobre el astuto troyano QakBot en la publicación de la Regla de la Semana. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

Hoy queremos informarles que los atacantes han agregado dos técnicas a su arsenal: la evasión de la tecnología CDR (desarme y reconstrucción de contenido), así como la evasión de detección del patrón padre-hijo.

Osman Demir, participante activo del Programa de Desarrolladores Threat Bounty publicó una regla Sigma para detectar el troyano QakBot modernizado:

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059), PowerShell (T1059), Ejecución de Usuario (T1204)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad de TDM.