Novos ataques de email do QBot usam combo de PDF e WSF para instalar malware
19 de Abril de 2023

O malware QBot agora é distribuído em campanhas de phishing utilizando arquivos PDF e Windows Script Files (WSF) para infectar dispositivos Windows.

QBot (também conhecido como QakBot) é um antigo trojan bancário que evoluiu para malware que fornece acesso inicial a redes corporativas para outros atores mal-intencionados.

Esse acesso inicial é feito por meio do download de payloads adicionais, como Cobalt Strike, Brute Ratel e outros malwares, o que permite que outros atores mal-intencionados acessem o dispositivo comprometido.

Usando esse acesso, os atores mal-intencionados se espalham lateralmente por uma rede, roubando dados e eventualmente implantando ransomware em ataques de extorsão.

A partir deste mês, o pesquisador de segurança ProxyLife e o grupo Cryptolaemus têm documentado o uso do QBot de um novo método de distribuição de e-mail - anexos PDF que fazem o download de arquivos de script do Windows para instalar o QBot nos dispositivos das vítimas.

O QBot está atualmente sendo distribuído por meio de e-mails de phishing de cadeia de respostas, quando os atores mal-intencionados usam trocas de e-mails roubados e, em seguida, respondem a eles com links para malware ou anexos maliciosos.

O uso de e-mails de cadeia de respostas é uma tentativa de tornar um e-mail de phishing menos suspeito, pois é uma resposta a uma conversa em andamento.

Os e-mails de phishing usam uma variedade de idiomas, marcando isso como uma campanha mundial de distribuição de malware.

Anexado a esses e-mails está um arquivo PDF chamado 'CancelationLetter-[número].pdf', que, quando aberto, exibe uma mensagem dizendo: "Este documento contém arquivos protegidos, para exibi-los, clique no botão "abrir"."

No entanto, quando o botão é clicado, um arquivo ZIP que contém um arquivo de script do Windows (wsf) será baixado em vez disso.

Um arquivo de script do Windows tem uma extensão .wsf e pode conter uma mistura de código JScript e VBScript que é executado quando o arquivo é clicado duas vezes.

O arquivo WSF usado na campanha de distribuição de malware QBot é altamente obfuscado, com o objetivo final de executar um script do PowerShell no computador.

O script do PowerShell que é executado pelo arquivo WSF tenta baixar uma DLL de uma lista de URLs.

Cada URL é testada até que o arquivo seja baixado com sucesso para a pasta %TEMP% e executado.

Quando a DLL do QBot é executada, ele executará o comando PING para determinar se há uma conexão com a Internet.

O malware então injeta-se no programa legítimo do Windows wermgr.exe (Gerenciador de erros do Windows), onde será executado silenciosamente em segundo plano.

Infecções por malware QBot podem levar a ataques devastadores em redes corporativas, tornando vital entender como o malware está sendo distribuído.

Afiliados de ransomware vinculados a várias operações de Ransomware-as-a-Service (RaaS), incluindo BlackBasta, REvil, PwndLocker, Egregor, ProLock e MegaCortex, usaram o Qbot para acesso inicial às redes corporativas.

Pesquisadores do The DFIR Report mostraram que leva apenas cerca de 30 minutos para o QBot roubar dados sensíveis após a infecção inicial.

A atividade maliciosa leva apenas uma hora para se espalhar para estações de trabalho adjacentes.

Portanto, se um dispositivo for infectado com o QBot, é essencial retirar o sistema da rede o mais rápido possível e realizar uma avaliação completa da rede em busca de comportamentos incomuns.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...