Se han reportado avisos de incidentes de seguridad sobre una nueva campaña de distribución del malware Qbot (también conocido como Qakbot o Pinkslipbot). Este permitiría a los atacantes a través de archivos PDF y WSF especialmente diseñados para dispositivos Windows, obtener información del sistema, incluyendo credenciales de cuentas y el acceso inicial no autorizado a redes corporativas.
Además de robar contraseñas y cookies de los navegadores web, funciona como una puerta trasera para inyectar cargas útiles (payloads) adicionales, como Cobalt Strike, Brute Ratel o ransomware.
Dicho malware se encuentra activo desde al menos 2007 y actualmente se distribuye a través de correos electrónicos de phishing de cadena de respuesta (reply-chain), es decir, cuando los atacantes utilizan intercambios de correo electrónico robados y luego responden con enlaces a malware o archivos adjuntos maliciosos. El uso de correos electrónicos de cadena de respuestas es un intento de hacer que un correo electrónico de phishing sea menos sospechoso, ya que es una respuesta a una conversación en curso.
Los correos electrónicos de phishing utilizan una variedad de idiomas, marcando esto como una campaña mundial de distribución de malware. A continuación, se puede visualizar un ejemplo de correo electrónico malicioso por parte de QBot:
En dichos correos electrónicos se adjunta un archivo PDF llamado CancelationLetter-[número].pdf, al momento de abrirlo se visualiza un mensaje de «Este documento contiene archivos protegidos, para mostrarlos, haga clic en el botón «abrir».
Sin embargo, al hacer clic en el botón, se descarga un archivo ZIP que contiene un archivo de Windows Script (WSF) en su lugar y puede contener una mezcla de código JScript y VBScript que se ejecuta cuando se hace doble clic en el archivo.
El archivo WSF utilizado en la campaña de distribución de malware Qbot contiene código ofuscado, con el objetivo final de ejecutar un script de PowerShell en el equipo víctima.
El script de PowerShell ejecutado por el archivo WSF intenta descargar una DLL de una lista de direcciones URL. Cada URL se prueba hasta que el archivo se descarga correctamente en la carpeta %TEMP% y se ejecuta.
Cuando se ejecuta la DLL, Qbot ejecutará el comando PING para determinar si hay una conexión a Internet. El malware se inyectará en el programa legítimo wermgr.exe (Windows Error Manager), donde se ejecutará silenciosamente en segundo plano.
Prevención
Para lograr prevenir estas campañas de malware, se considera fundamental la desconexión del sistema lo antes posible y realizar una evaluación completa de la red para detectar comportamientos inusuales.
Adicionalmente, ante el incremento continuo de campañas de phishing alentamos a tener en cuenta varias medidas de prevención a seguir, indicadas en el siguiente enlace que hemos publicado anteriormente:
Referencias:
- https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/
- https://thehackernews.com/2023/04/new-qbot-banking-trojan-campaign.html
- https://lab52.io/blog/bypassing-qakbot-anti-analysis-tactics/
- https://www.cert.gov.py/noticias/tecnica-de-phishing-en-adjuntos-html/