Qbot troyano secuestra hilos de correo electrónico para llevar a cabo campañas de phishing


La última variante de este troyano extrae hilos de correo electrónico de Outlook, que utiliza para ataques de phishing, dice Examine Point Exploration.

Las campañas de phishing son un medio popular y a menudo eficaz de ciberataque, ya que dependen de la ingeniería social y la fragilidad humana para lograr sus objetivos. Algunas campañas son de naturaleza typical y están dirigidas a un grupo grande y aleatorio de personas. Otros son más específicos y realizan una investigación cuidadosa de antemano para dirigirse mejor a individuos específicos. Una nueva campaña de phishing analizada por el proveedor de inteligencia de amenazas Verify Issue revela cómo el antiguo troyano Qbot se ha reutilizado para phishing de personas al capturar sus hilos de correo electrónico.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

En su entrada de website del jueves titulada «Los nuevos y desagradables trucos de un viejo bot: exploración de los últimos métodos de ataque de Qbot, «Examine Level explain a Qbot (también conocido como Qakbot y Pinkslipbot) como un troyano bancario notorio que existe desde 2008. Conocido por robar credenciales de cuentas bancarias y otros datos financieros de sus víctimas, Qbot se actualiza continuamente con nuevas características y capacidades.

Aunque Qbot ha estado activo periódicamente durante más de una década, una nueva y destacada campaña surgió desde marzo hasta finales de junio de este año. Después de un breve respiro, apareció otra campaña a fines de julio. Éste utilizó el infame troyano Emotet para instalar una versión actualizada de Qbot en las computadoras específicas. Ese descubrimiento llevó a Look at Stage a descubrir una infraestructura de comando y management renovada y nuevas tácticas de malware para Qbot, cortesía de Emotet.

Tradicionalmente, Qbot es capaz de realizar una variedad de acciones maliciosas, como:

  • Robar información de máquinas infectadas, incluidas contraseñas, correos electrónicos y detalles de tarjetas de crédito.
  • Instalación de otro malware en máquinas infectadas, incluido ransomware.
  • Permitir que el controlador del Bot se conecte a la computadora de la víctima (incluso cuando la víctima está conectada) para realizar transacciones bancarias desde la dirección IP de la víctima.

Pero la última cepa encontrada a principios de agosto tiene un nuevo truco bajo la manga, a saber, recolectar mensajes de correo electrónico. Después de que una computadora se infecta, Qbot activa un «módulo de recopilación de correo electrónico» especial, que extrae los hilos de correo electrónico del cliente de Microsoft Outlook y los carga en un servidor remoto. Los atacantes utilizan estos hilos robados para campañas de phishing haciendo que sus propios correos electrónicos fraudulentos parezcan ser parte de la conversación. Test Stage dijo que encontró hilos secuestrados con temas como COVID-19, recordatorios de pago de impuestos y reclutamiento de empleos.

email-chain-check-point.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/08/27/52188d83-cac5-4f2e-b1ed-b8df8ae6bcd8/resize/770x/59a025fb3f9be1a570b8fd0f4615d9c /email-chain-check-point.jpg

Imagen: Investigación de Test Position

«Nuestra investigación muestra cómo incluso las formas más antiguas de malware pueden actualizarse con nuevas características para convertirlas en una amenaza peligrosa y persistente», dijo Yaniv Balmas, jefe de investigación cibernética de Check out Issue, en un comunicado de prensa. «Los actores de amenazas detrás de Qbot están invirtiendo fuertemente en su desarrollo para permitir el robo de datos a una escala masiva de organizaciones e individuos. Hemos visto campañas activas de malspam que distribuyen Qbot directamente, así como el uso de infraestructuras de infección de terceros como Emotet para propagarse la amenaza aún más «.

Para protegerse a sí mismo y a su organización de los ataques de Qbot y otras campañas de phishing, Check out Level ofrece las siguientes recomendaciones:

  1. Incorporar seguridad de correo electrónico. El correo electrónico es, con mucho, el vector número uno para que los atacantes se infiltran en redes y Pc para luego robar datos. Los correos electrónicos de phishing que incitan a los usuarios a exponer las credenciales de su organización o hacer clic en un enlace o archivo malicioso son la amenaza número uno en el espacio del correo electrónico. Las organizaciones siempre deben incorporar una solución de seguridad de correo electrónico diseñada para prevenir tales ataques automáticamente mediante el uso de motores de seguridad actualizados continuamente.
  2. Ser sospechoso. Tenga cuidado con los correos electrónicos que contienen archivos adjuntos desconocidos o solicitudes inusuales, incluso si parecen provenir de fuentes confiables. Siempre es mejor verificar el correo electrónico para asegurarse de que sea legítimo antes de hacer clic en un enlace o un archivo adjunto.
  3. Agregar verificación. Cuando se trata de transferencias bancarias, asegúrese siempre de agregar una segunda verificación, ya sea llamando a la persona que solicitó la transferencia o llamando a la parte receptora.
  4. Notificar a los socios comerciales. Si se detecta una infracción de correo electrónico en su organización, notifique a todos sus socios comerciales. Cualquier retraso en la notificación solo beneficia al atacante.

Ver también



Enlace a la noticia unique