A principios de abril descubrimos que los ataques con troyanos bancarios de la familia QBot (también conocidos como QakBot, QuackBot y Pinkslipbot) habían aumentado considerablemente. El malware se propagaba a través de correos electrónicos escritos en diferentes idiomas: vimos versiones en inglés, alemán, italiano y francés. Estos correos electrónicos se basaban en correo empresariales reales a los que los atacantes obtuvieron acceso, y con ello la capacidad de enviar sus mensajes a los participantes en la correspondencia. La mayoría animaba a los destinatarios, con pretextos plausibles, a abrir un archivo PDF adjunto. Por ejemplo, los atacantes podían pedir que toda la documentación se enviara en la solicitud adjunta a la carta, o que el importe del contrato se calculara a partir de la estimación de costos que figuraban en el anexo.
Ejemplo de correo electrónico reenviado con un archivo adjunto malicioso
Este tipo de correspondencia comercial simulada puede dificultar el rastreo del spam y aumenta la probabilidad de que la víctima sucumba al engaño. Para resultar más creíbles, los atacantes añaden el nombre del remitente de correos anteriores al campo “De”, pero la dirección del remitente del correo malicioso es distinta de la del verdadero participante en la correspondencia.
Descripción breve de QBot
El troyano bancario QBot se detectó por primera vez en 2007. Desde entonces, se ha modificado y mejorado varias veces, y en 2020 se convirtió en uno de los programas maliciosos más distribuidos. En 2021, publicamos un análisis técnico detallado de QBot. Actualmente, los atacantes siguen añadiendo nuevas funciones a este troyano bancario y actualizando sus módulos para aumentar su eficacia y generar aún más beneficios.
Los métodos de distribución de QBot también han evolucionado. En sus etapas iniciales, se propagaba a través de sitios web infectados y copias ilegales de software. Ahora, el búnker se envía a la víctima potencial a través de malware ya presente en su computadora, así como mediante ingeniería social y mensajes de spam.
Cadena de infección QBot
Nueva cadena de infección QBot
El esquema de distribución del malware QBot comienza con el envío de un correo electrónico con un archivo PDF adjunto. El contenido del documento es idéntico a una notificación de Microsoft Office 365 o Microsoft Azure que pide al usuario hacer clic en Abrir para ver los archivos adjuntos. Al hacer clic, el usuario descarga un archivo en la computadora desde un servidor remoto (sitio comprometido) con la contraseña especificada en el archivo PDF original.
 |
 |
Ejemplos de archivos PDF adjuntos
Dentro del archivo descargado hay un fichero con extensión .wsf (Windows Script File) que contiene un script ofuscado en el lenguaje de programación JScript.
JScript ofuscado
Al desofuscar el archivo WSF, se revela su verdadero contenido: un script PowerShell codificado en Base64.
Script PowerShell codificado
Así, una vez que el usuario ejecuta el archivo WSF desde el archivo comprimido, se ejecutará un script PowerShell de forma inadvertida en la computadora del usuario, que utilizará wget para descargar el archivo DLL desde el servidor remoto. El nombre de esta biblioteca cambia de víctima a víctima y es una secuencia de letras generada automáticamente.
Script PowerShell descodificado
El script PowerShell intentará descargar el archivo de manera secuencial desde cada una de las URL enumeradas en el código. Para ver si el intento ha tenido éxito, el script comprueba el tamaño del archivo subido, utilizando el comando Get-Item para obtener información. Si el tamaño del archivo es mayor o igual a 100 000 bytes, el script ejecuta el archivo DLL mediante rundll32. En caso contrario, espera cuatro segundos y procede a descargar la biblioteca desde el siguiente enlace de la lista. La biblioteca que se descarga es QBot (que nuestros productos detectan como Trojan-Banker.Win32.Qbot.aiex).
Descripción técnica de la DLL maliciosa
Analizamos las muestras de Qbot del boletín actual. El bloque de configuración del bot incluye el nombre de campaña obama249 y la marca de tiempo 1680763529 (correspondiente al 6 de abril de 2023 6:45:29), así como más de un centenar de direcciones IP que el bot utilizará para conectarse a los servidores de comando y control. La mayoría de estas direcciones pertenecen a usuarios cuyos sistemas infectados sirven de punto de entrada en la cadena que redirige el tráfico de la botnet a los servidores reales de comando y control.
Las funciones de Qbot apenas han cambiado en los últimos dos años. Sigue siendo capaz de extraer contraseñas y cookies de los navegadores, robar correos electrónicos de los buzones, interceptar el tráfico y dar a los operadores acceso remoto a un sistema infectado. Dependiendo del valor de la víctima, puede descargar en su computadora malware adicional, como CobaltStrike (para propagarse por una red corporativa) o diversos ransomware de cifrado. O bien la víctima puede convertirse en un proxy que los atacantes utilizarán para desviar el tráfico, incluyendo el tráfico de spam de correo electrónico.
Estadísticas
Analizamos las estadísticas de ataques QBot recopiladas por Kaspersky Security Network (KSN). Según nuestros datos, los primeros correos electrónicos con PDF maliciosos empezaron a llegar a los destinatarios en la tarde del 4 de abril. El envío masivo comenzó a las 12:00 del día siguiente y se prolongó hasta las 21:00 horas, tiempo durante el cual detectamos unas 1000 cartas en total. La segunda oleada comenzó el 6 de abril, también a mediodía, y esta vez nuestros clientes ya habían recibido más de 1500 cartas. En los días siguientes no cesaron de llegar correos electrónicos, y pronto se produjo un nuevo repunte: la noche del 12 de abril detectamos el envío de otros 2000 mensajes. Después, la actividad de los delincuentes disminuyó, pero los correos maliciosos continuaron llegando.
Geografía de los ataques de la familia QBot, del 1 al 13 de abril de 2023 (descargar)
También hemos comprobado qué países son los más atacados por Qbot. Para ello, correlacionamos el número de usuarios atacados en determinado país con el número total de atacantes en todo el mundo. El resultado fue que los residentes en Alemania (28,01%), Argentina (9,78%) e Italia (9,54%) fueron los más propensos a toparse con el troyano bancario QBot.
Indicadores de compromiso de Qbot
MD5
Archivos PDF
253E43124F66F4FAF23F9671BBBA3D98
39FD8E69EB4CA6DA43B3BE015C2D8B7D
Archivos ZIP
299FC65A2EECF5B9EF06F167575CC9E2
A6120562EB673552A61F7EEB577C05F8
Archivos FSM
1FBFE5C1CD26C536FC87C46B46DB754D
FD57B3C5D73A4ECD03DF67BA2E48F661
DLL
28C25753F1ECD5C47D316394C7FCEDE2
Enlaces maliciosos
Archivo ZIP
cica.com[.]co/stai/stai.php
abhishekmeena[.]in/ducs/ducs.php
DLL
rosewoodlaminates[.]com/hea/yWY9SJ4VOH
agtendelperu[.]com/FPu0Fa/EpN5Xvh
capitalperurrhh[.]com/vQ1iQg/u6oL8xlJ
centerkick[.]com/IC5EQ8/2v6u6vKQwk8
chimpcity[.]com/h7e/p5FuepRZjx
graficalevi.com[.]br/0p6P/R94icuyQ
kmphi[.]com/FWovmB/8oZ0BOV5HqEX
propertynear.co[.]uk/QyYWyp/XRgRWEdFv
theshirtsummit[.]com/MwBGSm/lGP5mGh
De los mismos autores
En la misma categoría
El troyano bancario QBot se propaga través de la correspondencia comercial