El malware QBot se propaga a través de una nueva campaña de phishing
Proxylife y el grupo Cryptolaemus han detectado un nuevo esfuerzo de phishing que distribuye el malware QBot a través de archivos PDF y Windows Script Files (WSF). QBot, también conocido como QakBot, es un virus que roba información y se ha convertido en un dropper que ayuda a los grupos criminales en sus acciones maliciosas.
Los correos electrónicos de phishing son correos electrónicos de cadena de respuesta en los que actores maliciosos responden a una secuencia de correos electrónicos con un enlace o archivo adjunto malicioso. Estos correos electrónicos de phishing utilizan una variedad de idiomas, lo que significa que cualquier organización en cualquier parte del mundo puede verse comprometida. Cuando alguien de la cadena de correo electrónico vea el PDF vinculado, recibirá la advertencia "Este documento contiene archivos protegidos, para visualizarlos, haga clic en el botón 'abrir'". Al hacer clic en el botón, se descarga un archivo ZIP que contiene el script WSF.
El script de esta campaña ha sido minuciosamente ocultado y es una mezcla de código JavaScript (JS) y VBScript. Cuando se ejecuta, lanza un programa PowerShell que descarga el DLL QBot desde una lista de URLs. El script intenta cada URL hasta que descarga y ejecuta un archivo en la carpeta Temp de Windows. Cuando se ejecuta QBot, se inserta dentro del software Administrador de errores de Windows, wermgr.exe, que es un componente original de Windows. Esto permite a QBot ejecutarse en segundo plano de forma invisible.
Kaspersky también estudió la campaña y descubrió que utiliza correos electrónicos con cadena de respuesta para dificultar que los objetivos potenciales los reconozcan como maliciosos. Los correos electrónicos están escritos al estilo de cartas comerciales legítimas obtenidas por los atacantes e instan al destinatario a descargar un archivo PDF adjunto. Este archivo PDF tiene muchos niveles de ofuscación, lo que dificulta que los programas de seguridad identifiquen su carácter malicioso.
Dentro del archivo PDF hay un archivo de script de Windows (WSF) que contiene un script oculto de PowerShell codificado como una línea Base64. Cuando el script PowerShell se ejecuta en el ordenador, utiliza la herramienta wget para descargar un archivo DLL de un servidor remoto, que se utiliza para diseminar el malware QBot en el PC de la víctima.
Las numerosas capas de ofuscación de QBot dificultan su detección. El FSM se ofusca para eludir la detección, que descargará otras cargas útiles, explica Timothy Morris, asesor jefe de seguridad de Tanium. El ataque "encadenado", o el uso de múltiples pasos, ayuda a eludir algunas protecciones, ya que el contexto completo del comportamiento nefasto no puede observarse como una única actividad.
Las fuentes de este artículo incluyen un artículo de Malwarebytes.