Detecção de Malware QBot: Cachorro Velho, Truques Novos

[post-views]
Fevereiro 16, 2022 · 4 min de leitura
Detecção de Malware QBot: Cachorro Velho, Truques Novos

Você não pode ensinar truques novos para um cachorro velho. No entanto, os cibercriminosos ignoram estereótipos comuns, atualizando QBot com novos truques nefários para atacar vítimas globalmente. Este malware “veterano” emergiu em 2007, no entanto, pesquisadores de segurança observam que o QBot está sendo constantemente atualizado para seguir as tendências maliciosas.

Por exemplo, pesquisadores de segurança observam que os mantenedores do QBot estão abusando cada vez mais das LOLBin (Binários Utilizando Recursos do Sistema). Particularmente, um LOLBin comum é conhecido como Regsvr32.exe: os atores de ameaça utilizam esta ferramenta de linha de comando para plantar trojans como Lokibot e QBot no sistema de uma vítima. Essa abordagem cria um ambiente lucrativo para o sucesso da operação, dado que o Regsvr32.exe é uma ferramenta usada em diversos processos rotineiros.

Ataques do QBot

O QBot (QakBot, QuakBot, também Pinkslipbot) surgiu pela primeira vez no final dos anos 2000. Por cerca de 15 anos, o trojan tem causado dores de cabeça, com os cibercriminosos por trás dele inventando formas inovadoras de realizar suas atividades maliciosas.

Nos últimos anos, o malware QBot tem se transformado em uma família de malwares abrangente para Windows, sendo amplamente utilizado em campanhas de phishing. Ele permite que hackers roubem credenciais bancárias e de domínios Windows, infectem outras máquinas e forneçam a grupos de ransomware acesso remoto. De acordo com dados atuais, o QBot foi empregado como um agente de entrega para ransomware para adquirir acesso inicial a redes corporativas por gangues notórias como REvil, PwndLocker, Egregor, ProLock e MegaCortex.

Cadeia de Infecção do QBot

Tipicamente, as infecções por QBot originam-se de uma outra infestação de malware ou, mais comumente, de um ataque de phishing. O QBot mira dispositivos que executam Windows, empregando emails de phishing como um ponto inicial de acesso e explorando vulnerabilidades em aplicativos padrão do sistema como o cliente de email da Microsoft, o Outlook. Hoje, equipado com um módulo que lê conversas de email, os hackers por trás do QBot atingiram novos patamares em tornar emails falsificados mais legítimos aos seus olhos das vítimas. Os ataques de phishing do QBot dependem de um vasto repertório de iscas, como faturas falsas, lembretes de pagamento, informações bancárias, ofertas de trabalho, documentos digitalizados, alertas de detecção de vírus e alarmantes notificações de COVID-19, incentivando o destinatário a abrir o arquivo infectado, permitindo a execução do código macro embutido.

Nas campanhas atuais, os operadores do QBot entregam documentos Word, Excel, RTF e compostos maliciosos. Quando uma vítima abre um documento, ele alimenta a disseminação das infecções QBot. O carregador DLL inicial do QBot é baixado e o processo do QBot usa uma tarefa agendada do Windows para elevar seu nível de acesso ao sistema. Em menos de 30 minutos, todo o sistema da vítima é invadido.

Prevenindo o QBot

O QBot está no radar da cibersegurança há mais de 15 anos, ganhando uma infame posição de malware veterano e distribuído por email. À luz do crescente número de campanhas de phishing por email, a Microsoft anunciou uma mudança padrão para cinco aplicativos do Office que executam macros, ou seja, para bloquear macros VBA obtidas pela internet, efetivo a partir de abril de 2022.

A solução acima espera-se que se torne um grande avanço de segurança para dispositivos operados por Windows. Enquanto isso, as regras de detecção por Nattatorn Chuensangarun ajudam profissionais de segurança a expor os últimos ataques QBot contra a rede da organização:

O Malware Qbot coleta informações do navegador (via process_creation)

O Malware Qbot usa Processo REG para Evasão Defensiva (via process_creation)

O Malware Qbot usa Processo msra para Escalação de Privilégio (via process_creation)

A lista completa de detecções no repositório da Threat Detection Marketplace na plataforma SOC Prime está disponível aqui.

Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para tornar a detecção de ameaças mais fácil, rápida e eficiente com as melhores práticas do setor e expertise compartilhada. A plataforma também permite que profissionais de SOC compartilhem conteúdo de detecção de sua criação, participem de iniciativas de alto nível e monetizem sua contribuição.

Ir para a Plataforma Participe do Threat Bounty

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias