O malware QBot agora é distribuído em campanhas de phishing utilizando arquivos PDF e Windows Script Files (WSF) para infectar dispositivos Windows.
QBot (também conhecido como QakBot) é um antigo trojan bancário que evoluiu para malware que fornece acesso inicial a redes corporativas para outros atores mal-intencionados.
Esse acesso inicial é feito por meio do download de payloads adicionais, como Cobalt Strike, Brute Ratel e outros malwares, o que permite que outros atores mal-intencionados acessem o dispositivo comprometido.
Usando esse acesso, os atores mal-intencionados se espalham lateralmente por uma rede, roubando dados e eventualmente implantando ransomware em ataques de extorsão.
A partir deste mês, o pesquisador de segurança ProxyLife e o grupo Cryptolaemus têm documentado o uso do QBot de um novo método de distribuição de e-mail - anexos PDF que fazem o download de arquivos de script do Windows para instalar o QBot nos dispositivos das vítimas.
O QBot está atualmente sendo distribuído por meio de e-mails de phishing de cadeia de respostas, quando os atores mal-intencionados usam trocas de e-mails roubados e, em seguida, respondem a eles com links para malware ou anexos maliciosos.
O uso de e-mails de cadeia de respostas é uma tentativa de tornar um e-mail de phishing menos suspeito, pois é uma resposta a uma conversa em andamento.
Os e-mails de phishing usam uma variedade de idiomas, marcando isso como uma campanha mundial de distribuição de malware.
Anexado a esses e-mails está um arquivo PDF chamado 'CancelationLetter-[número].pdf', que, quando aberto, exibe uma mensagem dizendo: "Este documento contém arquivos protegidos, para exibi-los, clique no botão "abrir"."
No entanto, quando o botão é clicado, um arquivo ZIP que contém um arquivo de script do Windows (wsf) será baixado em vez disso.
Um arquivo de script do Windows tem uma extensão .wsf e pode conter uma mistura de código JScript e VBScript que é executado quando o arquivo é clicado duas vezes.
O arquivo WSF usado na campanha de distribuição de malware QBot é altamente obfuscado, com o objetivo final de executar um script do PowerShell no computador.
O script do PowerShell que é executado pelo arquivo WSF tenta baixar uma DLL de uma lista de URLs.
Cada URL é testada até que o arquivo seja baixado com sucesso para a pasta %TEMP% e executado.
Quando a DLL do QBot é executada, ele executará o comando PING para determinar se há uma conexão com a Internet.
O malware então injeta-se no programa legítimo do Windows wermgr.exe (Gerenciador de erros do Windows), onde será executado silenciosamente em segundo plano.
Infecções por malware QBot podem levar a ataques devastadores em redes corporativas, tornando vital entender como o malware está sendo distribuído.
Afiliados de ransomware vinculados a várias operações de Ransomware-as-a-Service (RaaS), incluindo BlackBasta, REvil, PwndLocker, Egregor, ProLock e MegaCortex, usaram o Qbot para acesso inicial às redes corporativas.
Pesquisadores do The DFIR Report mostraram que leva apenas cerca de 30 minutos para o QBot roubar dados sensíveis após a infecção inicial.
A atividade maliciosa leva apenas uma hora para se espalhar para estações de trabalho adjacentes.
Portanto, se um dispositivo for infectado com o QBot, é essencial retirar o sistema da rede o mais rápido possível e realizar uma avaliação completa da rede em busca de comportamentos incomuns.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...