O cavalo de troia bancário QBot, também conhecido como Qakbot ou Pinkslipbot, é conhecido por pesquisadores de cibersegurança desde 2008, e continua enganando o setor com campanhas emergentes demonstrando suas sofisticadas capacidades de furtividade.
Outra campanha de phishing entregando o documento malicioso chamou a atenção dos pesquisadores. O mais recente ataque de QakBot é notável por entregar um arquivo ZIP com um documento, em vez de um anexo de documento do Microsoft Word. O documento compactado inclui uma macro que executa um script PowerShell que, por sua vez, baixa a carga útil do QakBot do URL predefinido.
Já alertamos nossos leitores sobre o astuto cavalo de troia QakBot no post da Regra da Semana. https://socprime.com/blog/rule-of-the-week-qbot-trojan-detection/
Hoje, queremos informar que os atacantes adicionaram duas técnicas ao seu arsenal – bypass de tecnologia CDR (desarme e reconstrução de conteúdo), bem como bypass de detecção de padrão pai-filho.
Osman Demir, participante ativo do Programa de Desenvolvimento Threat Bounty publicou uma regra Sigma para detectar o cavalo de troia QakBot modernizado:
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução
Técnicas: Interface de Linha de Comando (T1059), PowerShell (T1059), Execução de Usuário (T1204)
Pronto para experimentar o TDM da SOC Prime? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
