Uma nova companha de grupos cibercriminosos que operam trojans bancários da família Qbot usa uma combinação de PDF e Windows Script File (WSF) para instalar o malware e roubar as credenciais bancárias da vítima. A operação tem como alvo empresas na Alemanha, Argentina e Itália, e está atuando desde o dia 4 deste mês, sequestrando e-mails comerciais, de acordo com levantamento da Kaspersky.
O malware é enviado por e-mails escritos em inglês, alemão, italiano e francês. As mensagens são baseadas em e-mails comerciais reais aos quais os invasores obtiveram acesso. Isso dá a eles a oportunidade de entrar no segmento de correspondência com suas próprias mensagens, disse a Kaspersky em seu relatório.
Por meio desses e-mails, os invasores tentavam persuadir a vítima a baixar um PDF anexado, o que acabaria por ajudá-los a instalar o trojan Qbot no computador da vítima.
O Qbot, também conhecido como Qakbot ou Pinkslipbot, é um trojan bancário que foi observado pela primeira vez em 2007 e foi projetado para roubar as credenciais bancárias das vítimas. O trojan passou por várias modificações e melhorias e se tornou um dos malwares mais ativamente disseminados.
“Essa correspondência comercial simulada pode obstruir o rastreamento de spam enquanto aumenta a probabilidade de a vítima cair no truque”, disse Kaspersky. “Para dar autenticidade aos e- mails, os invasores colocaram o nome do remetente das cartas anteriores no campo ‘De’. No entanto, o endereço de e-mail fraudulento do remetente será diferente do correspondente real”, diz a Kaspersky no relatório.
A campanha de entrega do malware Qbot começa com um e-mail com um arquivo PDF no anexo sendo enviado à vítima. O conteúdo do arquivo imita um alerta do Office 365 ou do Microsoft Azure, recomendando que a vítima clique em “Abrir para visualizar os arquivos anexados”. Depois de aberto, um arquivo é baixado de um servidor remoto.
No arquivo baixado, há um arquivo .wsf (Windows Script File) contendo um script ofuscado escrito em JScript. Quando o arquivo WSF é “desofuscado”, uma carga útil do PowerShell é revelada. O script do PowerShell é executado no computador da vítima para baixar o trojan Qbot, que tenta roubar as credenciais bancárias da vítima.
Os primeiros e-mails com anexos maliciosos em PDF começaram a chegar na noite do dia 4 deste mês. A campanha de e-mails em massa começou às 12h do dia seguinte e continuou até as 21h, conta a Kaspersky.
Veja isso
Qbot precisa de apenas 30 minutos para roubar credenciais
Cavalo de Troia Qbot já é um dos dez principais malwares em nível global
Durante esse período, aproximadamente mil e-mails foram detectados. A segunda onda começou no dia 6, ao meio-dia, com mais de 1.500 e-mails enviados. “Nos dias seguintes, novas mensagens continuaram chegando e logo, na noite de 12 de abril, descobrimos outro aumento com mais 2.000 cartas (e-mails) enviadas aos nossos clientes”, diz a empresa de segurança. Desde então, a atividade cibercriminosa caiu, mas os usuários ainda recebem mensagens fraudulentas. A campanha visa principalmente usuários na Alemanha, Argentina e Itália.
Em março, o Qbot foi o malware mais predominante com um impacto de mais de 10% nas organizações em todo o mundo, de acordo com a Check Point Software. O Qbot emprega várias técnicas anti-VM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. Os métodos de distribuição do trojan também evoluíram. Anteriormente, ele era distribuído por meio de sites infectados e software pirata. “Agora, o banqueiro [trojan bancário] é entregue às vítimas em potencial por meio de malware que já reside em seus computadores, engenharia social e correspondências de spam”, alerta a Kaspersky.
