Resumen: Una amenaza revelada hace unos meses, está siendo distribuida a través del correo electrónico para robar los datos sensibles de sus víctimas en tan solo 30 minutos. Qbot, también conocido como Qakbot o QuakBot, es un malware específicamente diseñado para robar información, que hizo su última aparición en octubre del 2021. No obstante, parece que los operadores detrás del mismo, lo han estado utilizando activamente en la red para robar información a través del correo electrónico de Outlook.
Investigadores informaron, que Qbot tarda únicamente 30 minutos en robar correos y datos del navegador, mientras que le lleva 50 minutos terminar su operación, antes de desplazarse lateralmente dentro de la red.
Para obtener el acceso inicial, el malware utiliza un documento de Excel (XLS) que contiene una macro cuyo objetivo es lanzar la carga útil (DLL) dentro del ordenador. Posteriormente, el DLL se ejecuta y crea una tarea programada que se encarga de llevar a cabo la elevación de privilegios, inmediatamente después de la infección. Al mismo tiempo, el malware añade la carga útil a la lista de exclusión de Microsoft Defender, para evitar ser detectado.
Una vez hecho esto, el malware roba correos electrónicos que serán utilizados en ataques de phishing posteriores o vendidos a otros actores de amenaza. De igual manera, Qbot se encarga de robar las credenciales de la memoria de Windows y de los navegadores web, empleando las inyecciones LSASS (Local Security Authority Server Service).
Después de la primera ejecución, Qbot se desplaza lateralmente en todos los ordenadores de la red, copiando la DLL al siguiente objetivo, a la vez que genera un servicio para ejecutarla.
Algo que sin duda ha llamado la atención de los investigadores, es que mientras el malware se despliega en un nuevo ordenador, la infección anterior se borra, desinfectándose automáticamente en la máquina previa y dejando el ordenador como nuevo y normal a simple vista.
Por último, los actores de amenaza detrás de Qbot se mueven rápidamente dentro del entorno objetivo y dejan algunos de los sistemas comprometidos como puntos de proxy con la finalidad de facilitar posibles ataques a futuro o mantener diversos puertos para establecer la comunicación SSL con el servidor C2.
Independientemente del desarrollo del ataque, se le insta a todos los usuarios a mantener sus sistemas actualizados y emplear prácticas básicas de ciberseguridad para mitigar los ataques de Qbot, ya que se ha observado que además de robar datos, el malware también lanza cargas de ransomware dentro de las redes comprometidas.
En caso de que se den a conocer más detalles sobre el malware, se lo haremos saber lo antes posible.
Recomendaciones: Se le recomienda a todos los administradores mantener sus sistemas al día y mantener prácticas básicas de ciberseguridad. Referencias:
|
SÍGUENOS