Detección de QakBot: La nueva variante del troyano aprende nuevos trucos
Tabla de contenidos:
Los expertos en seguridad han revelado una nueva variante de un ladrón de información y troyano bancario conocido bajo el seudónimo QBot (también conocido como QakBot, QuackBot o Pinkslipbot). El troyano se detectó por primera vez a finales de los años 2000, utilizado principalmente en ataques con motivación financiera dirigidos a robar contraseñas de las víctimas. Sus operadores reaparecen regularmente con nuevos trucos, adoptando nuevos vectores de entrega y técnicas de evasión. Esta vez, los adversarios engañan a las víctimas para que abran un adjunto HTML armado que instala Qakbot, distribuido en una campaña de phishing.
Detectar QakBot
Utilice una nueva regla de detección lanzada por Nattatorn Chuensangarun para exponer los últimos ataques de QBot contra la red de su organización:
The Regla Sigma puede utilizarse en más de 19 plataformas SIEM, EDR y XDR, alineadas con el marco MITRE ATT&CK® v.10, abordando las tácticas de evasión de defensa y ejecución con Ejecución de Proxy Binario Firmado (T1218) y Ejecución de Usuario (T1204) como las técnicas principales.
Los usuarios registrados de SOC Prime pueden acceder a soluciones innovadoras específicas de la industria y a más de 200,000 algoritmos de detección que se integran con más de 26 tecnologías SIEM, EDR y XDR. Para acceder a la lista exhaustiva de reglas Sigma para detectar ataques de QBot, haga clic en el Detección y Caza botón abajo.
Para obtener mejor visibilidad de las amenazas que atraviesan su red, navegue por un panorama de amenazas en constante cambio con una nueva solución de SOC Prime: el Motor de Búsqueda de Amenazas Cibernéticas. El Motor de Búsqueda está disponible de forma gratuita, sin condiciones. Pruébelo presionando el Explorar Contexto de Amenazas botón.
Detección y Caza Explorar Contexto de Amenazas
Descripción de QakBot
En las operaciones recientes, los adversarios detrás de la distribución de QakBot han adoptado nuevos enfoques para llevar sus capacidades de evasión de detección al siguiente nivel mediante el uso de extensiones de archivos ZIP, imitando formatos comunes para atraer a las víctimas a descargar adjuntos maliciosos que instalan Qakbot. Cuando el receptor abre el archivo HTML, el proceso implica la ejecución del fragmento de código javascript. Luego sigue la decodificación de una cadena base64 contenida por una variable local, llamando a una función incorporada, para guardar el archivo ZIP decodificado. El archivo ZIP contiene un archivo de acceso directo de Windows que visualmente imita un archivo de texto. Al hacer doble clic, se lanza un programa cargador de QakBot. Según los datos de investigación, la última versión del troyano QakBot se mejora con nuevas técnicas de anti-análisis y ofuscación.
En esta campaña, los hackers criminales aprovechan extensiones de carga útil como OCX, ooccxx, .dat, .gyp para eludir la detección de los escaneos automáticos de seguridad.
Nuevos ataques aparecen en el entorno todos los días, y los profesionales SOC necesitan soluciones precisas basadas en la exposición que corten el ruido y señalen las verdaderas amenazas de seguridad. La vasta biblioteca de contenido de detección de SOC Prime permite a los profesionales de seguridad de la información valorizar sus inversiones en seguridad. Al unirse a la plataforma Detección como Código de SOC Prime, los expertos en seguridad pueden ver en acción cómo se pueden beneficiar de las capacidades aceleradas de defensa cibernética.
