Investigadores de seguridad de F5 Labs han advertido sobre ataques en curso utilizando una nueva versión del troyano bancario Qbot para robar credenciales de clientes de docenas de instituciones financieras estadounidenses.
Qbot (también conocido como Qakbot, Pinkslipbot y Quakbot) es un troyano bancario, que ha estado activo desde 2008. A lo largo de los años, surgieron muchas variantes de Qbot con capacidades mejoradas, pero el objetivo principal de Qbot sigue siendo el mismo: recopilar actividad de navegación y robar banco credenciales de cuenta y otra información financiera.
Por lo general, el troyano Qbot se propaga a través de correos electrónicos de phishing que dirigen a los usuarios a sitios web que utilizan exploits para inyectar Qbot a través de un gotero. Lo hace a través de una combinación de técnicas que subvierten las sesiones web de la víctima, incluido el registro de teclas, el robo de credenciales, la exfiltración de cookies y el enganche de procesos.
En la reciente campaña, los investigadores observaron una nueva versión de Qbot dirigida a 36 instituciones financieras estadounidenses (JP Morgan, Citibank, Bank of America, Citizens, Capital One, Wells Fargo, FirstMerit Bank y otros), así como a dos bancos en Canadá y Países Bajos.
Según F5 Labs, la nueva variante Qbot ha sido equipada con nuevas técnicas de detección y evasión de investigación.
"Tiene una nueva capa de empaque que codifica y oculta el código de los escáneres y las herramientas basadas en firmas. También incluye técnicas de máquina anti-virtual, que lo ayudan a resistir el examen forense". los investigadores escribieron.
Así es como la nueva infección Qbot generalmente ocurre en una computadora de destino:
1. Qbot se carga en la memoria de explorer.exe en ejecución desde un ejecutable introducido mediante phishing, un dropper de exploit o un recurso compartido de archivos abierto.
2. Qbot se copia en la ubicación predeterminada de la carpeta de la aplicación, como se define en la clave de registro% APPDATA%.
3. Qbot crea una copia de sí mismo en la clave de registro específica
4. HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run para ejecutar cuando el sistema se reinicie.
5. Qbot suelta un archivo .dat con un registro de la información del sistema y el nombre de la botnet.
6. Qbot ejecuta su copia desde la carpeta% APPDATA% y, para cubrir sus pistas, reemplaza el archivo infectado originalmente por uno legítimo.
7. Por último, Qbot crea una instancia de explorer.exe y se inyecta en él. Los atacantes luego usan el proceso de explorer.exe siempre en ejecución para actualizar Qbot desde su servidor externo de comando y control.
“Qbot ha existido durante una docena de años con prácticamente la misma funcionalidad. Los objetivos cambiaron y se agregaron características, pero todavía se trata principalmente de keylogging y, en segundo lugar, de extraer los datos personales de la víctima. A medida que Qbot aumenta y disminuye en popularidad con los atacantes, es difícil medir su impacto general a escala global. Sin embargo, todavía es una amenaza viable para los defensores tener en cuenta ", concluyeron los investigadores.
