Descripción
“Qbot” es un troyano bancario detectado en 2009, sin embargo, a principios de 2019 se identificó una variante llamada “Qakbot” la cual se ha ido actualizando constantemente presentando nuevas técnicas de infección.
Este troyano ayuda a realizar transacciones fraudulentas, ya que es capaz de registrar pulsaciones de teclas (Keylogger) y agregar código malicioso a los navegadores Web para filtrar historiales y credenciales bancarias de los usuarios.
Qakbot inicia enviando correos electrónicos phishing como medio para llegar a sus víctimas, y adjunta un archivo comprimido .zip, que dentro contiene un supuesto documento de Microsoft Word que en realidad es un archivo del tipo Visual Basic Script (.vbs). Posteriormente, cuando el programa es ejecutado, se inicia un script en PowerShell que descarga el código malicioso desde un servidor de comando y control (C&C) del atacante.
En esta nueva campaña se detectaron dos nuevos indicadores asociados al troyano Qakbot, que consisten en técnicas para evitar y obstaculizar el análisis de la amenaza, esto lo logra desarmando y reconstruyendo el contenido (CDR) mediante la compresión del documento Word, y omitiendo la detección de patrones secundarios porque Visual Basic se ejecuta mediante Explorer.
Finalmente es importante mencionar que Qakbot también es utilizado para implementar otro tipo de programa malicioso en el dispositivo afectado, por ejemplo, ransomware.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistema Operativo Microsoft Windows.
Medidas de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- SHA-1:
- 8253ed3b08ab8996d471af5d25a722
3d8c259f45 - be852364d22d508f8ef601bb3bc9ea
c6bd98713b - d772f78169d9ba175d22c8ecf1a0c3
f0328ff6eb - 2bd118bb81b709b1013d7ffd8789f0
5d4e1f734f - 78f498003afb55d18207ab7bb22170
c6c8c7ef98 - 39d29aa254c55a5222ea0ec63dc22d
a67e3b483d - 295e604af22f8ced8fe5349765d345
507fd3c079 - 791179b20d936cf76d885d1949d4a5
0a295b4918 - e36af99c29a474f82cd57f2736b9d1
b5ecadfdfd - b841a34ec95bd1c3d1afe6d578aade
f9439f3c38 - e7480e6adb6af1c992bc91605e4bba
682d76c43d - 952917654b5c0328a31c3bbd8c7bf7
a70a4a82e7 - 58b023e339a9557adbdbf0de63c058
4500438b9b - 147101a88cc1fe91bac9161425986a
1c1e15bc16
- 8253ed3b08ab8996d471af5d25a722
- URLs:
- hxxp: //akindustrieschair[.]com/
smuvtnrgvmd/55555.png - hxxp: //nashsbornik[.]com/
rqzvoxtjyhw/555555.png - hxxp: //maplewoodstore[.]com/
rmwclxnbeput/555555.png - hxxp: //akersblog[.]top/kipql/
555555.png - hxxp: //all-instal[.]eu/mgpui/
555555.png - hxxp: //ankaramekanlari[.]net/
vmnzwr/555555.png - hxxp: //optovik[.]store/bkatah/
555555.png - hxxp: //store.anniebags[.]com/
qyvbyjaiu/555555.png - hxxp: //atsepetine[.]com/
evuyrurweyib/555555.png - hxxp: //duvarsaatcisi[.]com/gbmac/
555555.png - hxxp: //rijschoolfastandserious[.]
nl/rprmloaw/111111.png - hxxp: //nanfeiqiaowang[.]com/tsxwe/
111111.png - hxxp: //forum.insteon[.]com/suowb/
111111.png - hxxp: //webtest.pp[.]ua/yksrpucvx/
111111.png - hxxp: //quoraforum[.]com/
btmlxjxmyxb/111111.png - hxxp: //quickinsolutions[.]com/
wfqggeott/111111.png - hxxp: //bronco[.]is/pdniovzkgwwt/
111111.png - hxxp: //studiomascellaro[.]it/
wnzzsbzbd/111111.png - hxxp: //craniotylla[.]ch/vzufnt/
111111.png - hxxp: //marineworks[.]eu/
dwaunrsamlbq/111111.png
- hxxp: //akindustrieschair[.]com/
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Evitar descargar archivos adjuntos de correos electrónicos de remitentes desconocidos o sospechosos.
- Mantener las firmas actualizadas de los antivirus para prevenir una posible infección.
- Tener monitoreada la actividad en puntos finales, servidores y firewalls para detectar actividad inusual.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias