Ciberseguridad 360 | El malware Qbot reaparece en campaña dirigida a la industria hotelera

El malware QakBot est� siendo distribuido nuevamente en campa�as de phishing despu�s de que la botnet fuera interrumpida por las fuerzas del orden durante el verano.

En agosto, una operaci�n multinacional de las fuerzas del orden llamada Operaci�n Duck Hunt accedi� a los servidores de los administradores de QakBot y mape� la infraestructura de la botnet.

Despu�s de obtener las claves de cifrado de la botnet utilizadas para la comunicaci�n del malware, el FBI pudo secuestrar la botnet para empujar un m�dulo DLL de Windows personalizado a los dispositivos infectados. Este DLL ejecut� un comando que termin� el malware QakBot, interrumpiendo efectivamente la botnet.

Mientras que un servicio de phishing que se us� para distribuir el malware Qbot ha visto actividad desde la interrupci�n, no hubo distribuci�n del malware QakBot hasta el pasado lunes, cuando comenz� la nueva campa�a de phishing.

QakBot regresa

Microsoft ahora est� advirtiendo que QakBot se est� distribuyendo nuevamente en una campa�a de phishing que finge ser un correo electr�nico de un empleado del IRS.

Microsoft dice que observ� por primera vez el ataque de phishing el 11 de diciembre en una peque�a campa�a dirigida a la industria hotelera.

Nuevos correos electr�nicos de phishing de Qakbot que se hacen pasar por el IRS

Fuente: Microsoft en Twitter

Adjunto al correo electr�nico hay un archivo PDF que finge ser una lista de invitados que dice "La vista previa del documento no est� disponible" y luego pide al usuario que descargue el PDF para verlo correctamente.

Sin embargo, al hacer clic en el bot�n de descarga, los destinatarios descargar�n un MSI que, al instalarse, lanza el malware Qakbot DLL en la memoria.

Microsoft dice que el DLL fue generado el 11 de diciembre, el mismo d�a que comenz� la campa�a de phishing, y utiliza un c�digo de campa�a de 'tchk06' y servidores de comando y control en 45.138.74.191:443 y 65.108.218.24:443.

"Lo m�s notable es que la carga �til de Qakbot entregada estaba configurada con la versi�n 0x500 previamente no vista", tuite� Microsoft, indicando el desarrollo continuo del malware.

Los investigadores de seguridad Pim Trouerbach y Tommy Madjar tambi�n han confirmado que la carga �til de Qakbot que se distribuye es nueva, con algunos cambios menores.

Trouerbach mencion� que hay cambios menores en el nuevo DLL de QakBot, incluyendo el uso de AES para descifrar cadenas en lugar de XOR en la versi�n anterior.

Adem�s, Trouerbach cree que la nueva versi�n todav�a se est� desarrollando ya que contiene algunos errores inusuales.

Como tuite� Trouerbach, despu�s de que Emotet fue interrumpido por las fuerzas del orden en 2021, los actores de amenazas intentaron revivir su botnet con poco �xito.

Aunque es demasiado pronto para decir si Qbot tendr� problemas para recuperar su tama�o anterior, los administradores y los usuarios deben estar atentos a los correos electr�nicos de phishing de la cadena de respuestas que se usan com�nmente para distribuir el malware.

�Qu� es el malware Qbot?

QakBot, tambi�n conocido como Qbot, comenz� como un troyano bancario en 2008, con desarrolladores de malware us�ndolo para robar credenciales bancarias, cookies de sitios web y tarjetas de cr�dito para cometer fraude financiero.

Con el tiempo, el malware evolucion� hacia un servicio de entrega de malware, asoci�ndose con otros actores de amenazas para proporcionar acceso inicial a las redes para realizar ataques de ransomware, espionaje o robo de datos.

Qakbot se distribuye a trav�s de campa�as de phishing que utilizan una variedad de se�uelos, incluidos los ataques de correo electr�nico de la cadena de respuestas, que es cuando los actores de amenazas usan un hilo de correo electr�nico robado y luego responden con su propio mensaje y un documento malicioso adjunto.

Estos correos electr�nicos suelen incluir documentos maliciosos como archivos adjuntos o enlaces para descargar archivos maliciosos que instalan el malware Qakbot en el dispositivo de un usuario.

Estos documentos cambian entre campa�as de phishing y van desde documentos de Word o Excel con macros maliciosas, archivos de OneNote con archivos incrustados, hasta archivos ISO con ejecutables y accesos directos de Windows. Algunos de ellos tambi�n est�n dise�ados para explotar vulnerabilidades zero-day en Windows.

Una vez instalado, el malware inyectar� un DLL en un proceso leg�timo de Windows, como wermgr.exe o AtBroker.exe, y se ejecutar� en segundo plano mientras despliega cargas �tiles adicionales.

En el pasado, Qakbot ha colaborado con m�ltiples operaciones de ransomware, incluyendo Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, y, m�s recientemente, Black Basta y BlackCat/ALPHV.

Fuente: bleepingcomputer.com