Malware Qbot cambia la modalidad a un nuevo vector de infección
AS-035-2022
Fecha: 12/Abr/2022
Resumen:
La botnet Qbot está empujando cargas útiles de malware a través de correos electrónicos de phishing con archivos adjuntos ZIP protegidos con contraseña que contienen paquetes maliciosos de MSI Windows Installer. Esta es la primera vez que los operadores de Qbot utilizan esta táctica, cambiando su forma estándar de entregar el malware a través de correos electrónicos de phishing que dejan caer documentos de Microsoft Office con macros maliciosas en los dispositivos objetivos, lo cual podría ser una reacción al anuncio de Microsoft de deshabilitar las macros de Excel 4.0 (XLM) de forma predeterminada a partir de enero.
Esta es una mejora de seguridad significativa para proteger a los clientes de Office, ya que el uso de macros VBA maliciosas incrustadas en documentos de Office es un método frecuente para impulsar una gran variedad de cepas de malware en ataques de phishing, incluidos Qbot, Emotet, TrickBot y Dridex.
Troyano bancario.
Qbot (también conocido como Qakbot, Quakbot y Pinkslipbot) es un troyano bancario modular de Windows con características de gusano utilizadas desde al menos 2007 para robar credenciales bancarias, información personal y datos financieros, así como para dejar caer puertas traseras en computadoras comprometidas e implementar Cobalt Strike.
Este malware también es conocido por infectar otros dispositivos en una red comprometida utilizando exploits de recursos compartidos de red y ataques de fuerza bruta altamente agresivos dirigidos a cuentas de administrador de Active Directory.
Recomendación.
Dado que las infecciones de Qbot pueden provocar infecciones peligrosas y ataques altamente disruptivos, los administradores de TI y los profesionales de seguridad deben familiarizarse con este malware, las tácticas que está utilizando para propagarse por toda una red y las utilizadas por los operadores de botnets para entregarlo a nuevos objetivos.
Un informe de Microsoft de diciembre de 2021 capturó la versatilidad de los ataques Qbot, esa versatilidad dificulta la evaluación precisa del alcance de las infecciones.
Referencia:
https://www.bleepingcomputer.com/news/security/qbot-malware-switches-to-new-windows-installer-infection-vector
https://www.bleepingcomputer.com/news/security/microsoft-these-are-the-building-blocks-of-qbot-malware-attacks/