Ciberseguridad 360 | Los nuevos ataques de correo electrónico de QBot usan la combinación de PDF y WSF para instalar malware

El malware QBot ahora se distribuye en campa�as de phishing que utilizan archivos PDF y Windows Script Files (WSF) para infectar dispositivos Windows.

Qbot (tambi�n conocido como QakBot) es un antiguo troyano bancario que se convirti� en malware que brinda acceso inicial a redes corporativas para otros actores de amenazas. Este acceso inicial se realiza eliminando cargas �tiles adicionales, como Cobalt Strike , Brute Ratel y otro malware que permite que otros actores de amenazas accedan al dispositivo comprometido.

Usando este acceso, los actores de amenazas se propagan lateralmente a trav�s de una red, roban datos y finalmente implementan ransomware en ataques de extorsi�n.

A partir de este mes, el investigador de seguridad ProxyLife y el grupo Cryptolaemus han estado documentando el uso de Qbot de un nuevo m�todo de distribuci�n de correo electr�nico: archivos adjuntos en PDF que descargan archivos de secuencias de comandos de Windows para instalar Qbot en los dispositivos de las v�ctimas.

Comienza con un correo electr�nico

QBot se distribuye actualmente a trav�s de correos electr�nicos de phishing de cadena de respuesta, cuando los actores de amenazas usan intercambios de correo electr�nico robados y luego les responden con enlaces a malware o archivos adjuntos maliciosos.

El uso de correos electr�nicos de cadena de respuesta es un intento de hacer que un correo electr�nico de phishing sea menos sospechoso como respuesta a una conversaci�n en curso.

Los correos electr�nicos de phishing utilizan una variedad de idiomas, lo que marca esto como una campa�a mundial de distribuci�n de malware.

Un archivo de script de Windows termina con una extensi�n .wsf y puede contener una combinaci�n de c�digo JScript y VBScript que se ejecuta cuando se hace doble clic en el archivo.

El archivo WSF utilizado en la campa�a de distribuci�n de malware QBot est� muy ofuscado, con el objetivo final de ejecutar un script de PowerShell en la computadora.

El script de PowerShell que ejecuta el archivo WSF intenta descargar una DLL de una lista de direcciones URL. Cada URL se prueba hasta que el archivo se descarga correctamente en la carpeta %TEMP% y se ejecuta.

Las infecciones de malware QBot pueden provocar ataques devastadores en las redes corporativas, por lo que es vital comprender c�mo se distribuye el malware.

Los afiliados de ransomware vinculados a m�ltiples operaciones de Ransomware-as-a-Service (RaaS), incluidas BlackBasta , REvil, PwndLocker, Egregor , ProLock y MegaCortex , han utilizado Qbot para el acceso inicial a las redes corporativas.

Los investigadores de The DFIR Report han demostrado que QBot solo tarda unos 30 minutos en robar datos confidenciales despu�s de la infecci�n inicial. Peor a�n, la actividad maliciosa solo tarda una hora en propagarse a las estaciones de trabajo adyacentes.

Por lo tanto, si un dispositivo se infecta con QBot, es fundamental desconectar el sistema lo antes posible y realizar una evaluaci�n completa de la red en busca de un comportamiento inusual.

M�s informaci�n: bleepingcomputer.com