Check Point® Software Technologies Ltd. alerta de la aparición de una nueva y peligrosa versión del conocido troyano Qbot, que es capaz de robar información y que se está extendiendo rápidamente, afectando tanto a empresas, como a usuarios. Este troyano fue identificado por primera vez en el año 2008 y su función principal consiste en recoger datos de navegación e información de carácter económico, incluidos los datos bancarios online.
Los investigadores de Check Point descubrieron varias campañas que usaban la nueva cepa de Qbot entre marzo y agosto de 2020. En una de las campañas, Qbot estaba siendo distribuido por el troyano Emotet, un troyano bancario que puede robar datos espiando el tráfico de la red, lo que llevó a los investigadores de Check Point a creer que Qbot usaba nuevas técnicas de distribución de malware, así como una renovada infraestructura de comando y control. Esta campaña de distribución de Emotet tuvo un impacto en el 5% de las empresas de todo el mundo en julio de 2020.
Nueva cepa. Nuevas capacidades.
La última versión de Qbot ha evolucionado para convertirse en una versión altamente estructurada y de múltiples capas, ampliando sus capacidades. De acuerdo con los investigadores, este troyano que roba información se ha convertido en el equivalente a la navaja suiza del malware, capaz de:
- Robar información de los equipos infectados, incluyendo contraseñas, correos electrónicos, números de tarjetas de crédito y más.
- Instalar otros programas maliciosos en los ordenadores infectados, incluyendo programas Ransomware.
- Es capaz de conectarse al ordenador de la víctima (incluso cuando la víctima está conectada) para realizar transacciones bancarias desde su dirección IP
- Secuestrar los correos electrónicos de los usuarios desde su cliente de Outlook y usar esos correos para intentar infectar los PCs de otros usuarios.
Secuestro de hilos de correo electrónico
La cadena de infección inicial comienza con el envío de correos electrónicos especialmente elaborados para las empresas o individuos objetivo. Cada uno de los correos electrónicos contiene una URL de un ZIP con un archivo Visual Basic Script (VBS) malicioso, que contiene código que puede ser ejecutado dentro de Windows.
Una vez que un equipo se infecta, Qbot activa un “módulo colector de correo electrónico” especial que extrae todos los hilos de correo electrónico del Outlook de la víctima, y los sube a un servidor remoto de código duro. Estos correos electrónicos robados se utilizan más tarde para futuras campañas de malware, facilitando el hecho de que los usuarios sean engañados para que hagan clic en los archivos adjuntos infectados, ya que el correo electrónico de spam parece proseguir con una conversación de correo electrónico legítima ya existente. Los investigadores de Check Point han observado diferentes ejemplos de hilos de correo electrónico dirigidos y secuestrados con temas relacionados con Covid-19, recordatorios de pagar impuestos y contrataciones de trabajo.
Yaniv Balmas, jefe de Investigación de Check Point afirmó: “Nuestra investigación muestra cómo incluso las formas más antiguas de malware pueden actualizarse con nuevas características para convertirlas en una amenaza peligrosa y persistente. Los actores de la amenaza detrás de Qbot están invirtiendo fuertemente en su desarrollo para permitir el robo de datos a gran escala de empresas y particulares. Hemos sido testigos de campañas activas de malspam que distribuyen Qbot directamente, así como del uso de infraestructuras de infección de terceros como la de Emotet para propagar aún más la amenaza. Esperamos que nuestras observaciones e investigaciones sobre Qbot ayuden a poner fin a la amenaza. Por ahora, recomendamos seriamente a las personas que vigilen sus correos electrónicos de cerca para detectar signos que indiquen un intento de phishing, incluso cuando el correo electrónico parezca provenir de una fuente de confianza”.
Para ayudar a las empresas y a los usuarios a protegerse contra este tipo de ataques de phishing, Check Point recomienda lo siguiente:
- Incorporar medidas de seguridad para el correo electrónico: el correo electrónico es, con diferencia, el vector número uno para que los cibercriminales se infiltren en las organizaciones y en los ordenadores personales, para robar todos los archivos posibles. Los correos electrónicos de phishing que incitan a los usuarios a exponer las credenciales de su empresa o a hacer clic en un enlace/archivo malicioso son la amenaza número uno. Por ello, es importante que las organizaciones incorporen siempre una solución de seguridad para el correo electrónico, diseñada para evitar esos ataques de forma automática utilizando motores de seguridad que se actualizan continuamente.
- Sospechar: se debe ser cauteloso con los correos electrónicos que contienen archivos adjuntos desconocidos o solicitudes inusuales, incluso si parecen provenir de fuentes de confianza. Siempre es mejor comprobar que el correo electrónico es legítimo antes de hacer clic en un enlace o un archivo adjunto.
- Añadir la verificación: cuando se trate de transferencias bancarias, se debe agregar siempre una segunda verificación, ya sea llamando a la persona que solicitó la transferencia o a la parte receptora.
- Notificar a los partners empresariales: si se ha detectado una violación del correo electrónico en una empresa, también hay que asegurarse de notificarlo a todos los partners; cualquier retraso en la notificación sólo sirve para beneficiar al atacante.
Los Estados Unidos han sido el objetivo número uno de los ataques Qbot, constituyendo casi el 29% de todos los ataques detectados. La India, Israel e Italia le han seguido muy de cerca, constituyendo cada uno el 7% de todos los ataques respectivamente. Los ataques se dirigen tanto a empresas como a particulares, con el objetivo de recoger la mayor cantidad posible de datos confidenciales.
Empresas atacadas por país
Los detalles completos del análisis de los investigadores de Check Point de las últimas características y ataques de Qbot están en el siguiente enlace.