Novas Técnicas do QakBot

O cavalo de troia bancário QBot, também conhecido como Qakbot ou Pinkslipbot, é conhecido por pesquisadores de cibersegurança desde 2008, e continua enganando o setor com campanhas emergentes demonstrando suas sofisticadas capacidades de furtividade.

Outra campanha de phishing entregando o documento malicioso chamou a atenção dos pesquisadores. O mais recente ataque de QakBot é notável por entregar um arquivo ZIP com um documento, em vez de um anexo de documento do Microsoft Word. O documento compactado inclui uma macro que executa um script PowerShell que, por sua vez, baixa a carga útil do QakBot do URL predefinido. 

Já alertamos nossos leitores sobre o astuto cavalo de troia QakBot no post da Regra da Semana. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/

Hoje, queremos informar que os atacantes adicionaram duas técnicas ao seu arsenal – bypass de tecnologia CDR (desarme e reconstrução de conteúdo), bem como bypass de detecção de padrão pai-filho.

Osman Demir, participante ativo do Programa de Desenvolvimento Threat Bounty publicou uma regra Sigma para detectar o cavalo de troia QakBot modernizado:

https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=qakbat+maldoc+campaign+two+new+techniques

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução

Técnicas: Interface de Linha de Comando (T1059), PowerShell (T1059), Execução de Usuário (T1204)

Pronto para experimentar o TDM da SOC Prime? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.