TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto:Acceso a la red de la organización.

Descripción

Un análisis realizado por MNEMO ha identificado una nueva campaña maliciosa de correo electrónico que, con base a las evidencias, podría tratarse del troyano QakBot, también conocido como Qbot, Quakbot o Pinkslipbot.

Qakbot es la evolución de “Qbot”, troyano bancario detectado en 2009, sin embargo, a principios del 2019 se identificó una variante llamada Qakbot la cual se ha ido actualizando constantemente presentando nuevas técnicas de infección. QakBot es un troyano bancario distribuido habitualmente mediante correos phishing que contienen documentos maliciosos, como Word o Excel, o incluso enlaces a archivos alojados en servicios en la nube.

Al igual que en la mayoría de las campañas de correo electrónico, el atacante engaña a la víctima para hacer que revise un documento adjunto, el cual se trata de un archivo comprimido ZIP. Hasta el momento no se ha identificado una temática especifica de los correos electrónicos, sin embargo, en el mensaje se incita al usuario a revisar el documento adjunto.

El archivo ZIP contiene un documento Excel con macros maliciosas y muestra el siguiente contenido fraudulento:

uc?export=view&id=11LKEfDfD6Dm9Hu35UI1tsUC1o9lXBIhg

Imagen 1. Documento Excel con macros maliciosas adjunto en el correo.

Al abrir el archivo Excel, podemos observar que se trata de un documento que suplanta a la compañía “DocuSign”, empresa que permite a las organizaciones gestionar acuerdos de manera electrónica, ya que ofrece una forma de firmar documentos digitalmente. El mensaje que muestra la plantilla trata de engañar al usuario para que habilite la edición y el contenido del documento, es decir las macros, y de esta manera obtener los permisos necesarios para ejecutar código malicioso.

Una vez habilitadas las macros, el documento malicioso actúa a modo de “dropper” y realiza una solicitud HTTP utilizando el método GET, el cual sirve para obtener información de un recurso especifico, hacia la URL “hxxp://bartstoppel[.]com/rqfardzsgihu/555555555[.]png”, desde la cual se cree que se realiza la descarga de algún programa malicioso.

uc?export=view&id=1nMhUTOipL2XeWmGIBpEt3fexxl4vQ059

Imagen 2. Petición HTTP GET realizada por el archivo Excel.

En el momento del análisis, la URL no se encontraba activa, aunque en muestras anteriores se ha identificado que en esta se realizaba la descarga de otros archivos que fueron catalogados como QakBot.

Aunque no parece ser el caso, en investigaciones anteriores se ha podido identificar que Qakbot es utilizado para implementar otro tipo de programas maliciosos, por ejemplo, el ransomware ProLock, lo que permite a los atacantes aprovechar distintas funcionalidades y conseguir una superficie de mayor ataque.

No obstante, el ser afectado por QakBot podría causar un fuerte impacto económico y de reputación para la organización, así como la filtración de información confidencial, robo de credenciales, ser víctima de ataques de ransomware, entre otros.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada en esta alerta.

  • URL
    • hxxp://bartstoppel[.]com/rqfardzsgihu/555555555[.]png
  • Nombre de archivo:
    • Compensation_Reject_699859995_09142020[.]LNK
  • MD5
    • 21AE533966E42BD5843331FBAA49A0DF
  • SHA-1
    • 0BCAF3C8E6208D376794BD9F7611622200897C7C
    • A50DF979A8F24978F36E1ED138C5C4DA8428D5DA
  • SHA-256
    • 645FA3CEDA68D613CBB775FFE1961E81A81D23E713E4C91279185DC6D60FEB07
    • E97C87AA1B1279B239AD024B3E680FE6DAF7713B6253398760C153EFF2EF9AE7
    • D29D60C1BA748AF4378D8C8B76B062C3C4E2CB37DD53EC29E6A08BA34788B818
    • C33DBA1601EE4F549663E5F19A584E1D8AFA0C4385A4BDB0DDC99A1AAB8FDD50
    • 82F4B2BDC164DE6FA07B10CC65A4EE182D976E9AFC1C43B3638597C35128CA72
    • 74E47CEC872591BF59397BE63BF68154035F103FC8D0A42E354F2F7CA855D2C4
    • 1B3ED663BEF0434DC99C70DA6F33BE86C8FDE6321755A5949340239D5A3A2CA7
    • 236F724D2691786D847B8B1A958C6C8B621E6E2D3F48975C5D299498A4F4B76C
    • 71138E8D682C0022647EECCFF28C11AA05325E1188EA4C18E6F0A749EEA24A8A
    • 127C189431586FBBF46B05510858AFD09CA70B341A122154BE283DAF0CACAA9D
    • C5045273698FE0C936F19CF10672E6CD2D008C4B467F06CEDAB4D66334C29E6E
    • 5E4EB8039C52C0F646B09A6E19FABA513ACC83EF372E42A9CC8FBE977FC62042
    • B017C407C7ADDE04D16901C769D7AF390E4DB7DE308053235DD7A2D3F45D4DBB
    • 7DC642628DE287A1C7CBCEF29D19380E21BB58AB4AA925D8CC688C95EF66C524
    • 3459C9B9E12226E33AFAC94C96FF740C4D115EC6F1592A466BED262545576871
    • B579BA093272401020954635DEA3A97378C2C5E63D8C78F1B5FCDB80C6FFB17C
    • 3B7DF34F435531DA4894474397E951B47880B0F96B9CADDA492729E78F7CD9B2
    • E62EBF750138B5D4BE321AA123AFAAFFE0FF8B3CC01C9B93BBD32E11E81F8F93
    • A9DFFEFA8AF9441025165F67E0BA6B2097AB64934B7DFF17F09E9F2A26C24FE0
    • C09130A1142B239A317EF358E2469691DA2508B3A3C45E85C9B05D85F498B854
    • ED1E7F590F252B0D22115A80FC16CC4C31711B524AC68974EC500429AA6E451E
    • 8487C6EF3469DE45E3EFA1A7187B9EDDD1AFA36ECB2ABDB25D087BEEE1D6B120
    • C24EAB6BAE77BE4A0811F05CE57CDA2D1B2814BE57CC175FF407C3F643042DD3
    • 9893A6F8A504268880F3C7C7A1FD4CB9A74DD2DF369E4AE4287E588C232F207F
    • 9074FABCB63EA3DF8BF23AAECE9CBA66281086CB9803E6835B5C80844F901AC2
    • 2AAE214F624EE140ACAB11AAB45452AB68F3C4BEB071EC45A08337989712B5AE
    • 602CF73B58FBE90406C9A20C725AAEF7BC900F1203D436505FD65C920837E67C
    • 3A5FE9E99311D50AC119C99B6474D03D362D4D9426AF09719A7D984B2FB1F441
    • 4FE6F749D7F278918B14A628D36FE17CC799985D25283150363498E6E95B0389
    • 672F66B464C2CC0C94552F2BECF658A7C685E7B1545B52111674EF9D5E9B8793
    • 6229239C4836F0F25CB05A30912BE0E4AFD2B597CD40C3ADF3BA3352A15CA041
    • 3CA61E6DD45417D2FF9AF6F3901E279BF5365DE53FBCD354D5E71A2D56D82EF1
    • 44D4372212E8F82B692BB69CE81E4DB31AF0F3ADD7FC5A3537EBB1CFEDC877EC
    • FB357936A952C02CF92CDFFF1E5461F7B646B59DE8F2CD90B22BF9F6B197FF89
    • 7A93C4A46730CC4E8A2BAD82414394EAC6C16063EDFFFE64EE4AD8F8DD8D97F7
    • 7171AEFC65AE81B2342FB71769B7A5EC41E552AF6AEF281286E7B18BE67524C3

Medidas de contencion

  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con la actividad maliciosa notificada y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Deshabilitar la ejecución automática de macros en documentos Microsoft Office.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias