banner senha segura
senhasegura
malware search busca de bug malware

Malware usa histórico do e-mail e falsifica conversas em golpes financeiros

Estratégia é do Qbot, que já fez mais de 100 mil vítimas no mundo, tornando-se um dos malwares mais difundidos do ano
Da Redação
27/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O histórico de um e-mail – o conteúdo das conversas entre duas ou mais pessoas acumulado a cada troca de mensagens – costuma ser visto por muitos usuários como um dos bons traços de autenticidade num e-mail. Pois agora, até o histórico está sendo roubado para ajudar cibercriminosos a falsificar mensagens. Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software, conta que isso está sendo feito pela mais nova versão do Qbot (também conhecido como Qakbot ou Pinkslipbot), que coleta dados de navegação e informações financeiras, incluindo credenciais de acesso. Segundo ele, em suas variadas versões o Qbot já fez mais de 100 mil vítimas no mundo, tornando-se o malware mais difundido no momento. Em sua principal ação, ele coleta e-mails inteiros no Outlook dos usuários.

Os pesquisadores da Check Point encontraram várias campanhas usando a nova família do Qbot entre março e agosto de 2020. Em uma das campanhas, o Qbot estava sendo distribuído pelo trojan Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede. Isso levou os pesquisadores da Check Point a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle renovada. Esta campanha envolvendo distribuição pelo Emotet impactou 5% das organizações globalmente em julho de 2020.

Veja isso
Pesquisadores de segurança detectam novo malware bancário
Malware rouba credenciais AWS, ataca Docker e Kubernetes

A última versão do Qbot evoluiu para se tornar altamente estruturada e em múltiplas camadas, estendendo suas capacidades como se fosse um “canivete suíço” que, de acordo com os pesquisadores, é capaz de:

• Roubar informações de máquinas infectadas, incluindo senhas, e-mails, detalhes de cartão de crédito e muito mais.

• Instalar ransomware: instalar outro malware em máquinas infectadas, incluindo ransomware.

•Permitir transações bancárias não autorizadas: faz com que o controlador do Bot se conecte ao computador da vítima (mesmo quando ela já está conectada) para fazer transações bancárias a partir do seu endereço IP.

A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL apontada para um arquivo ZIP, contendo um arquivo malicioso escrito no Visual Basic Script (VBS) do Windows.

Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto. Esses e-mails roubados são, então, utilizados para futuras campanhas de spam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo. Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à covid-19, lembretes de pagamento de impostos e ofertas de empregos.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório