Qbot: los viejos rockeros nunca mueren
Podríamos decir que Qbot es al malware lo que los Rolling Stones son al rock: todo el mundo lleva años dándolos por acabados, pero año tras año siguen ahí, en la cresta de la ola. Y es que parece mentira pero ya ha pasado más de una década desde de que, allá por 2008, se dejara ver por primera vez. Nada indicaba, por aquellos entonces, que con el tiempo terminaría por convertirse en uno de los patógenos más longevos (en lo referido a su vida activa) ni que sería capaz de reinventarse en tantas ocasiones.
Hace menos de dos meses hablamos sobre Cosmic Lynx, quizá lo recuerdes, y uno de los puntos de aquella investigación señalaba que este nuevo malware compartía infraestructura con Emotet y TrickBot. Bien, pues aquí conectamos algunos puntos, porque Emonet trabaja con una variante actualizada de Qbot, y su última versión (hasta ahora) tiene poco más de un mes. Su evolución es constante, y gracias a ello ha conseguido mantenerse en el candelero por más de una década.
Y ahora, cuando apenas si hemos tenido tiempo para averiguar más sobre la variante de Qbot empleada por Emotet, Check Point acaba de publicar un informe en el que nos alerta de una nueva evolución: la última técnica observada por los investigadores de seguridad consiste en que el malware se inserta en los hilos de correo electrónico legítimos de sus víctimas para propagarse. De esta manera, con esa aparente legitimidad, consigue que sus víctimas descuiden la seguridad a la hora de abrir un archivo malicioso.
Para tal fin, cuando ya ha llegado a una máquina activa un módulo que recopila y exfiltra todos los hilos de correo que la víctima pueda tener en el cliente de email Microsoft Outlook, que son enviados a un servidor de comando y control. Una vez almacenados en el mismo, son empleados tiempo después para enviar mensajes a a las víctimas. El objetivo es que dichas comunicaciones pasen por formar parte de las conversaciones previamente exfiltradas, y que de este modo la víctima piense que son una respuesta del interlocutor con el que han mantenido dichas conversaciones.
La compañía ha visto hilos de correo electrónico secuestrados en los que Qbot se inserta con temas relacionados con la pandemia de CoVid-19, recordatorios de impuestos y varios asuntos laborales. En cuanto a la segmentación geográfica, un tercio de las organizaciones objetivo de las nuevas campañas eran de Estados Unidos, pero empresas y organizaciones de Europa también se han visto muy afectadas por esta campaña. Las industrias más afectadas fueron las instituciones gubernamentales, el ejército, el sector industrial, los seguros, el legal, el cuidado de la salud y la banca.
La entrada Qbot: los viejos rockeros nunca mueren es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico
