La vieja herramienta de malware adquiere nuevos trucos



La última versión de Qbot ha adquirido una nueva función para recopilar hilos de correo electrónico de clientes de Outlook.

Qbot, una herramienta de malware que ha estado atormentando a los usuarios en todo el mundo desde al menos 2008, ha vuelto a hacerlo, con nuevas características que incluyen una para robar hilos de correo electrónico de clientes de Outlook y usarlos para intentar infectar otros sistemas de usuario.

Los investigadores de Examine Stage observaron que la nueva versión de Qbot se entregó a través de correos electrónicos no deseados maliciosos a principios de agosto y se dirigió a casi 100,000 sistemas por día en todo el mundo desde entonces. El malware se está utilizando tanto en ataques dirigidos como en ataques más amplios y oportunistas.

Desde que apareció por primera vez como un troyano bancario hace más de una década, Qbot se ha convertido en un producto de malware multifacético. Actualmente admite la capacidad de robar contraseñas, datos de tarjetas de pago y otra información de sistemas infectados para lanzar otro malware, incluido ransomware, en esos sistemas y realizar transacciones bancarias fraudulentas. Decenas de miles de sistemas en todo el mundo están infectados con versiones anteriores de Qbot, lo que lo convierte en una de las muestras de malware más extendidas en la actualidad, según Verify Level.

La última versión de Qbot incluye un «módulo de recopilación de correo electrónico» que extrae los hilos de correo electrónico del cliente Outlook de un sistema infectado y los carga en un servidor remoto. Los operadores de Qbot están insertando correos electrónicos no deseados que contienen malware en los hilos robados para engañar a los destinatarios haciéndoles pensar que el correo electrónico no deseado es una continuación de una conversación existente y, por lo tanto, es más probable que hagan clic en un archivo adjunto o sigan un enlace. en un reporte El miércoles, Verify Point dijo que sus investigadores habían observado hilos de correo electrónico secuestrados con temas relacionados con la pandemia actual, pagos de impuestos y contratación laboral.

Además de la función de recopilación de hilos de correo electrónico, la nueva versión de Qbot también tiene un nuevo complemento de computación de pink digital (VNC) que permite al atacante controlar la máquina de una víctima a través de una interfaz gráfica, dice Daniel Marx, líder del equipo de Look at. Equipo de investigación de malware de Place. La capacidad también existe en otras muestras de malware, por lo que no es especialmente innovadora, señala. Pero es otra indicación de cómo Qbot ha evolucionado constantemente desde que surgió, dice Marx.

«Lo que podría explicar la longevidad de Qbot es el compromiso de los desarrolladores de cambiar, probar cosas nuevas y renunciar a las técnicas antiguas», señala. «Mientras se mantenga un malware, puede continuar».

Aunque el malware ya no es la causa principal de las violaciones de datos en la mayoría de las organizaciones, todavía se encuentra entre los principales vectores de ataque. Verizon 2020 Informe de investigaciones de violación de datos (DBIR) mostró que el 17% de las infracciones que investigó el año pasado involucraron malware. En comparación, el 45% presentó piratería por parte de un actor externo, el 22% se debió a errores y el 22% se activó a través de la ingeniería social. El veintisiete por ciento de los incidentes relacionados con malware que investigó Verizon involucraron ransomware.

El análisis de la compañía mostró que las organizaciones se han vuelto generalmente mejores para bloquear la mayoría de los tipos de malware. Por ejemplo, el malware de tipo troyano representó poco menos del 50% de todas las infracciones que Verizon investigó en 2016, en comparación con apenas el 6,5% el año pasado. Irónicamente, con las organizaciones mejorando en el bloqueo de malware, los atacantes malintencionados han comenzado a emplear cada vez más herramientas de administración legítimas y las llamadas tácticas de vivir fuera de la tierra en ataques que son mucho más difíciles de detectar y bloquear.

El DBIR 2019 de Verizon descubrió que cuando el malware ingresa a una organización, generalmente es por correo electrónico. Su análisis mostró que, de hecho, más de nueve de cada 10 infecciones de malware en 2019 involucraron correo electrónico.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique