Detecção do QakBot: Nova Variante do Trojan Adotou Novos Truques
Índice:
Especialistas em segurança revelaram uma nova variante de um ladrão de informações e trojan bancário conhecido pelo apelido QBot (também conhecido como QakBot, QuackBot ou Pinkslipbot). O trojan foi detectado pela primeira vez no final dos anos 2000, usado principalmente em ataques motivados financeiramente com o objetivo de roubar senhas das vítimas. Seus operadores regularmente ressurgem com novos truques na manga, adotando novos vetores de entrega e técnicas de evasão. Desta vez, os adversários enganam as vítimas para abrir um anexo HTML armado que instala o Qakbot, espalhado em uma campanha de phishing.
Detectar QakBot
Faça uso de uma regra de detecção recém-lançada por Nattatorn Chuensangarun para expor os últimos ataques do QBot contra a rede de sua organização:
Possível Execução do QakBot pelo Arquivo HTML Anexado por Emails de Phishing (via process_creation)
The Regra Sigma pode ser usada em mais de 19 plataformas SIEM, EDR & XDR, alinhada com o framework MITRE ATT&CK® v.10, abordando as táticas de Evasão de Defesa e Execução com Execução de Proxy de Binário Assinado (T1218) e Execução pelo Usuário (T1204) como as técnicas principais.
Usuários registrados da SOC Prime podem acessar soluções inovadoras específicas de indústria e mais de 200.000 algoritmos de detecção que se integram com mais de 26 tecnologias de SIEM, EDR e XDR. Para acessar a lista exaustiva de regras Sigma para detectar ataques do QBot, clique no botão Detectar & Caçar abaixo.
Para obter melhor visibilidade das ameaças que passam pela sua rede, navegue por um cenário de ameaças em constante mudança com uma nova solução da SOC Prime – o Motor de Busca de Ameaças Cibernéticas. O Motor de Busca está disponível gratuitamente, sem restrições. Experimente pressionando o botão Explorar Contexto de Ameaça .
Detectar & Caçar Explorar Contexto de Ameaça
Descrição do QakBot
Nas operações recentes, os adversários por trás da distribuição do QakBot adotaram novas abordagens para levar suas capacidades de evasão de detecção para o próximo nível usando extensões de arquivos ZIP, imitando formatos comuns para atrair os alvos a baixar anexos maliciosos que instalam o Qakbot. Quando o receptor abre o arquivo HTML, o processo envolve a execução do trecho de código javascript. Em seguida, acontece a decodificação de uma string base64 mantida por uma variável local, chamando uma função embutida, para salvar o arquivo ZIP decodificado. O arquivo ZIP contém um arquivo de atalho do Windows que imita visualmente um arquivo de texto. O duplo clique resulta no lançamento de um programa carregador do QakBot. De acordo com os dados de pesquisa, a versão mais recente do trojan QakBot é aprimorada com novas técnicas de anti-análise e ofuscação.
Nesta campanha, hackers criminosos aproveitam extensões de carga útil como OCX, ooccxx, .dat, .gyp para contornar a detecção de varreduras de segurança automatizadas.
Novos ataques aparecem na natureza todos os dias, e profissionais de SOC precisam de soluções precisas, baseadas em exposição, que cortem o ruído e identifiquem as ameaças reais à segurança. A vasta biblioteca de conteúdo de detecção da SOC Prime permite que profissionais de infosec aumentem o valor de seus investimentos em segurança. Ao se juntar à plataforma Detection as Code da SOC Prime, especialistas em segurança podem ver em ação como podem se beneficiar de capacidades aceleradas de defesa cibernética.
