TLP: Amber
NIVEL DE RIESGO: [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Obtención de información confidencial almacenada en los navegadores Web.

Descripción

“Qbot” es un troyano bancario detectado en 2009, sin embargo, a principios de 2019 se identificó una variante llamada “Qakbot” la cual se ha ido actualizando constantemente presentando nuevas técnicas de infección.

Este troyano ayuda a realizar transacciones fraudulentas, ya que es capaz de registrar pulsaciones de teclas (Keylogger) y agregar código malicioso a los navegadores Web para filtrar historiales y credenciales bancarias de los usuarios.

Qakbot inicia enviando correos electrónicos phishing como medio para llegar a sus víctimas, y adjunta un archivo comprimido .zip, que dentro contiene un supuesto documento de Microsoft Word que en realidad es un archivo del tipo Visual Basic Script (.vbs). Posteriormente, cuando el programa es ejecutado, se inicia un script en PowerShell que descarga el código malicioso desde un servidor de comando y control (C&C) del atacante.

En esta nueva campaña se detectaron dos nuevos indicadores asociados al troyano Qakbot, que consisten en técnicas para evitar y obstaculizar el análisis de la amenaza, esto lo logra desarmando y reconstruyendo el contenido (CDR) mediante la compresión del documento Word, y omitiendo la detección de patrones secundarios porque Visual Basic se ejecuta mediante Explorer.

Finalmente es importante mencionar que Qakbot también es utilizado para implementar otro tipo de programa malicioso en el dispositivo afectado, por ejemplo, ransomware.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Medidas de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-1:
    • 8253ed3b08ab8996d471af5d25a7223d8c259f45
    • be852364d22d508f8ef601bb3bc9eac6bd98713b
    • d772f78169d9ba175d22c8ecf1a0c3f0328ff6eb
    • 2bd118bb81b709b1013d7ffd8789f05d4e1f734f
    • 78f498003afb55d18207ab7bb22170c6c8c7ef98
    • 39d29aa254c55a5222ea0ec63dc22da67e3b483d
    • 295e604af22f8ced8fe5349765d345507fd3c079
    • 791179b20d936cf76d885d1949d4a50a295b4918
    • e36af99c29a474f82cd57f2736b9d1b5ecadfdfd
    • b841a34ec95bd1c3d1afe6d578aadef9439f3c38
    • e7480e6adb6af1c992bc91605e4bba682d76c43d
    • 952917654b5c0328a31c3bbd8c7bf7a70a4a82e7
    • 58b023e339a9557adbdbf0de63c0584500438b9b
    • 147101a88cc1fe91bac9161425986a1c1e15bc16
  • URLs:
    • hxxp: //akindustrieschair[.]com/smuvtnrgvmd/55555.png
    • hxxp: //nashsbornik[.]com/rqzvoxtjyhw/555555.png
    • hxxp: //maplewoodstore[.]com/rmwclxnbeput/555555.png
    • hxxp: //akersblog[.]top/kipql/555555.png
    • hxxp: //all-instal[.]eu/mgpui/555555.png
    • hxxp: //ankaramekanlari[.]net/vmnzwr/555555.png
    • hxxp: //optovik[.]store/bkatah/555555.png
    • hxxp: //store.anniebags[.]com/qyvbyjaiu/555555.png
    • hxxp: //atsepetine[.]com/evuyrurweyib/555555.png
    • hxxp: //duvarsaatcisi[.]com/gbmac/555555.png
    • hxxp: //rijschoolfastandserious[.]nl/rprmloaw/111111.png
    • hxxp: //nanfeiqiaowang[.]com/tsxwe/111111.png
    • hxxp: //forum.insteon[.]com/suowb/111111.png
    • hxxp: //webtest.pp[.]ua/yksrpucvx/111111.png
    • hxxp: //quoraforum[.]com/btmlxjxmyxb/111111.png
    • hxxp: //quickinsolutions[.]com/wfqggeott/111111.png
    • hxxp: //bronco[.]is/pdniovzkgwwt/111111.png
    • hxxp: //studiomascellaro[.]it/wnzzsbzbd/111111.png
    • hxxp: //craniotylla[.]ch/vzufnt/111111.png
    • hxxp: //marineworks[.]eu/dwaunrsamlbq/111111.png

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Evitar descargar archivos adjuntos de correos electrónicos de remitentes desconocidos o sospechosos.
  • Mantener las firmas actualizadas de los antivirus para prevenir una posible infección.
  • Tener monitoreada la actividad en puntos finales, servidores y firewalls para detectar actividad inusual.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias