Detección de Malware QBot: Viejo Perro, Nuevos Trucos
Tabla de contenidos:
No se puede enseñar a un perro viejo nuevos trucos. Sin embargo, los ciberdelincuentes ignoran los estereotipos comunes, actualizando QBot con nuevos trucos nefastos para atacar a víctimas a nivel global. Este ‘veterano’ malware surgió en 2007, sin embargo, los investigadores de seguridad observan que QBot se actualiza constantemente para seguir la ola de tendencias maliciosas.
Por ejemplo, los investigadores de seguridad observan que los mantenedores de QBot abusan cada vez más de los LOLBin (Living Off the Land Binaries). Particularmente, un LOLBin común es conocido como Regsvr32.exe: los actores de amenazas utilizan esta utilidad de línea de comandos para plantar troyanos como Lokibot y QBot en el sistema de una víctima. Este enfoque crea un entorno lucrativo para el éxito de la operación, dado que Regsvr32.exe es una herramienta utilizada en múltiples procesos rutinarios.
Ataques de QBot
QBot (QakBot, QuakBot, también Pinkslipbot) apareció por primera vez a finales de la década de 2000. Durante unos 15 años, el troyano ha estado causando dolores de cabeza, con los cibercriminales detrás de él ideando constantemente maneras innovadoras de llevar a cabo su actividad maliciosa.
En los últimos años, el malware QBot se ha convertido en una familia de malware de Windows de gran alcance, utilizada principalmente en campañas de phishing. Permite a los hackers robar credenciales bancarias y de dominios de Windows, infectar otras máquinas y proporcionar a los grupos de ransomware acceso remoto. Según los datos actuales, QBot fue empleado como agente de entrega de ransomware para adquirir acceso inicial a redes corporativas por parte de bandas tan conocidas como REvil, PwndLocker, Egregor, ProLock, y MegaCortex.
Cadena de infección de QBot
Típicamente, las infecciones de QBot surgen de otra infestación de malware o, más comúnmente, de un ataque de phishing. QBot apunta a dispositivos que ejecutan Windows, empleando correos electrónicos de phishing como punto inicial de acceso y explotando vulnerabilidades en las aplicaciones predeterminadas de un sistema como el cliente de correo electrónico de Microsoft, Outlook. Hoy en día, equipado con un módulo que lee hilos de correo electrónico, los hackers detrás de QBot han alcanzado nuevas alturas en hacer que los correos electrónicos falsos parezcan más legítimos para sus víctimas. Los ataques de phishing de QBot dependen de un vasto repertorio de señuelos, como facturas falsas, recordatorios de pago, información bancaria, ofertas de trabajo, documentos escaneados, advertencias de detección de virus y alarmantes alertas de COVID-19, presionando al destinatario para que abra el archivo infectado, permitiendo así el código macro incrustado.
En las campañas actuales, los operadores de QBot entregan documentos maliciosos de Word, Excel, RTF y documentos compuestos. Cuando una víctima abre un documento, promueve la propagación de las infecciones de QBot. El cargador inicial DLL de QBot se descarga y el proceso de QBot utiliza una tarea programada de Windows para elevar su nivel de acceso al sistema. En tan solo 30 minutos, todo el sistema de la víctima es saqueado.
Previniendo el QBot
QBot ha estado en el radar de ciberseguridad por más de 15 años, ganándose una notoria reputación como un malware veterano, distribuido vía email. A la luz del creciente número de campañas de phishing por email, Microsoft anunció un cambio predeterminado para cinco aplicaciones de Office que ejecutan macros, es decir, para bloquear macros VBA obtenidos de internet, efectivo desde abril de 2022.
La solución anterior, con suerte, se convertirá en un salto gigante de seguridad para los dispositivos operados por Windows. Mientras tanto, las reglas de detección de Nattatorn Chuensangarun ayudan a los profesionales de la seguridad a exponer los últimos ataques de QBot contra la red de la organización:
El malware Qbot recopila información del navegador (a través de process_creation)
El malware Qbot usa el proceso REG para evasión de defensa (a través de process_creation)
La lista completa de detecciones en el repositorio del Mercado de Detección de Amenazas de la plataforma SOC Prime está disponible aquí.
Regístrese gratis en la plataforma de Detección como Código de SOC Prime para hacer la detección de amenazas más fácil, rápida y eficiente con las mejores prácticas de la industria y experiencia compartida. La plataforma también permite a los profesionales de SOC compartir contenido de detección de su creación, participar en iniciativas de primer nivel y monetizar su contribución.
