Una nueva campaña de malware QBot está aprovechando la correspondencia comercial secuestrada para engañar a las víctimas desprevenidas para que instalen el malware, revelan nuevos hallazgos de Kaspersky.
La actividad más reciente, que comenzó el 4 de abril de 2023, se centró principalmente en usuarios de Alemania, Argentina, Italia, Argelia, España, EE. UU., Rusia, Francia, Reino Unido y Marruecos.
QBot (también conocido como Qakbot o Pinkslipbot) es un troyano bancario se sabe que está activo desde al menos 2007. Además de robar contraseñas y cookies de los navegadores web, funciona como una puerta trasera para inyectar cargas útiles de próxima etapa como Cobalt Strike o ransomware.
Distribuido a través de campañas de phishing, el malware ha visto actualizaciones constantes durante su vida que incluye técnicas anti-VM, anti-depuración y anti-sandbox para evadir la detección. También ha surgido como el malware más frecuente para el mes de marzo de 2023, por Check Point.
«Al principio, se distribuía a través de sitios web infectados y software pirateado», investigadores de Kaspersky. dicho, explicando los métodos de distribución de QBot. «Ahora el banquero se entrega a las víctimas potenciales a través del malware que ya reside en sus computadoras, la ingeniería social y los correos no deseados».
Los ataques de secuestro de hilos de correo electrónico no son nuevos. Él ocurre cuando los ciberdelincuentes se insertan en las conversaciones comerciales existentes o inician nuevas conversaciones basadas en información recopilada previamente por cuentas de correo electrónico comprometidas.
El objetivo es atraer a las víctimas para que abran enlaces maliciosos o archivos adjuntos maliciosos, en este caso, un archivo PDF adjunto que se hace pasar por una alerta de Microsoft Office 365 o Microsoft Azure.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Al abrir el documento, se recupera un archivo comprimido de un sitio web infectado que, a su vez, contiene un archivo de script de Windows ofuscado (.WSF). El script, por su parte, incorpora un script de PowerShell que descarga DLL maliciosas desde un servidor remoto. La DLL descargada es el malware QBot.
Los hallazgos llegan como Elastic Security Labs desenterrado una campaña de ingeniería social de varias etapas que emplea documentos de Microsoft Word armados para distribuir Agent Tesla y XWorm por medio de un cargador personalizado basado en .NET.