Qbot reaparece como Qakbot para atacar a entidades financieras

Se ha publicado la noticia en la que se alerta de la evolución del malware bancario Qbot, a la se le ha denominado como Qakbot.
Qbot fue un malware bancario detectado en 2009 y cuya actividad era la infección de las máquinas para la obtención de credenciales bancarias, actividad que consiguió afectar miles de ordenadores.
La detección de la muestra se ha logrado gracias a un comportamiento anómalo detectado en una de las redes monitorizadas por la solución data-alert de Varonis. Después de su detección y análisis se ha publicado un estudio alertando de la evolución de esta familia de malware.

Ataque e infección:
Fichero analizado: REQ_02132019b.doc.vbs
sha1: c4b0e2161b44fa580d00cccd3b3c70b957d6f64

Lo más relevante de la evolución del malware es sin duda su polimorfismo es decir, que se encuentra cambiando continuamente, dificultando muchísimo su análisis estático. También ha llamado la atención la aleatoriedad de los nombres que componen el proceso de infección así como la diferencia de comportamiento de la muestra cuando esta está conectada a Internet o no.

La muestra analizada intentaba enmascararse bajo un fichero ‘*.doc’ (Microsoft Word) cuando en realidad era un fichero ‘.*vbs’ (VisualBasicScript) utilizando un ataque de doble extensión (‘*.doc.vbs’), el cual era enviado como adjunto en un correo electrónico fraudulento, técnica habitualmente conocida y practicada por todo tipo de atacantes.

Para las comunicaciones iniciales esta muestra utilizaba ‘BITSAdmin’ desde el script de Visual Basic. Una herramienta de línea de comandos, creada para monitorizar los procesos de transferencias de red. Técnica astuta por parte de los creadores de la muestra ya que con esto evitan el uso de ‘PowerShell’ que está mucho más monitorizada por los motores antivirus.

A continuación se muestran las direcciones web de descarga de los archivos de configuración de la muestra.
Persistencia y robo:
Nombre del fichero: widgetcontrol.png
sha1: 10c540521ae79a8631daa3db4ab958744ffc3f39

El archivo descargado, será inyectado en el proceso explorer.exe del sistema, proceso necesario para el entorno gráfico de Windows. El archivo inyectado será, o puede ser, diferente en cada ejecución del malware, característia añadida en el complejo polimorfismo del que dispone la muestra.
Otra característica importante del archivo descargado es que viene firmado digitalmente, esto permite que el sistema operativo no alerte de que un archivo sospechoso se va a ejecutar. Para que el fichero descargado esté validado correctamente, debe de ser firmado con un certificado, previamente autorizado por una entidad de confianza. En muchos casos, estos certificados son obtenidos en ataques previos a otras entidades.
Los certificados utilizados por el malware son los siguientes:
  • Saiitech Systems Limited
  • ECDJB Limited
  • Hitish Patel Consulting Ltd
  • Doorga Limited
  • INTENTEK LIMITED
  • Austek Consulting Limited
  • IO Pro Limited
  • Vercoe IT Ltd
  • Edsabame Consultants Ltd
  • SOVA CONSULTANCY LTD
Una vez descargado estos ficheros el malware creará varias vías para mantener la persistencia en el sistema:
  • Creación de una clave en el registro de Windows para que arranque una vez se inicie el sistema operativo.
  • Programación de una tarea a través de una líne a de comandos utilizando el programador de tareas de Windows.
  • Creación de un enlace en la carpeta de inicio de Windows.
Una vez tiene persistencia en el equipo de la víctima, el malware utilizará diversas técnicas para el robo de credenciales:
  • A través de un keylogging, es decir, mediante la monitorización de las teclas pulsadas por el usuario.
  • A través de las cookies guardadas en el navegador del sistema.
  • A través del hookeo de las llamadas a las API de ciertas entidades financieras, es decir mediantes la monitorización y modificación de las comunicaciones de red con las entidades financieras.
En el momento de la investigación el servidor de control y comandos (C&C) estaba activo, permitiendo ver a los investigadores el alcance de la muestra, que aunque la campaña de infección está centrada en Estados unidos, también se ha encontradon rastros de actividades en Parte de Asia, Europa y Sudamérica.

Fuente: Hispasec

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en ...
Leer más

Nueva advertencia crítica de Microsoft Windows mientras se producen 3 ataques de día cero

Imagen
  Actualización, 16 de enero de 2025: Esta historia, publicada originalmente el 15 de enero, ahora incluye una declaración de Microsoft sobre los exploits de día cero de Windows. Como si los usuarios de Windows no tuvieran suficiente de qué preocuparse cuando se trata de problemas de seguridad, desde el próximo fin del   soporte de seguridad para Windows 10   hasta un aumento en los   ciberataques rusos , ahora Microsoft ha confirmado que se están utilizando tres nuevos exploits de día cero en los ciberataques en curso. Esto es lo que necesitas saber. Todos los usuarios de Windows alertados de tres ataques de día cero que ya están en marcha Microsoft ha publicado el último resumen de parches de seguridad de Patch Tuesday, y este mes, es una maravilla:   159 vulnerabilidades,   12 de las cuales son críticas e incluyen no menos de ocho días cero; tres de los cuales ya se sabe que están bajo explotación activa según Microsoft. "Este es definitivamente uno de e...
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos...
Leer más