Qbot precisa de apenas 30 minutos para roubar credenciais

O cavalo de Tróia também rouba e-mails meia hora após a execução inicial, que são usados para ataques de phishing em cadeia
Da Redação
08/02/2022

O trojan bancário Qbot, também conhecido como Qakbot ou QuakBot, retomou recentemente os ataques e, de acordo com analistas, agora leva apenas cerca de 30 minutos para roubar dados confidenciais após a infecção inicial. De acordo com novo relatório do DFIR (Digital Forensics and Incident Response), o Qbot estava realizando esses ataques rápidos de captura de dados em outubro do ano passado, e agora parece que os operadores de ameaças por trás do cavalo de Tróia retornaram com táticas semelhantes.

Os analistas relatam que leva meia hora para os hackers roubarem dados do navegador e e-mails do Outlook e 50 minutos antes de “pularem” para uma estação de trabalho adjacente, segundo o site Bleeping Computer. Além disso, o Qbot se move rapidamente para realizar o escalonamento de privilégios imediatamente após uma infecção, enquanto uma varredura de reconhecimento completa leva dez minutos.

O acesso inicial normalmente é obtido por meio de um documento do Excel (xls) que usa uma macro para descartar o carregador de DLL (biblioteca de vínculo dinâmico) na máquina de destino. Essa carga útil é executada para criar uma tarefa agendada por meio do processo ‘msra.exe’ e obtém os privilégios do sistema. Além disso, o malware adiciona a DLL do Qbot à lista de exclusão do Microsoft Defender, portanto, ela não será detectada quando ocorrer a injeção no ‘msra.exe’.

O malware também rouba e-mails meia hora após a execução inicial, que são usados ​​para ataques de phishing em cadeia e para serem vendidos a outros operadores de ameaças. Ele também rouba credenciais do Windows da memória usando as injeções de LSASS (Local Security Authority Server Service) e de navegadores da web. Eles são aproveitados para movimentação lateral do malware para outros dispositivos na rede, iniciados em média cinquenta minutos após a primeira execução.

Veja isso
Cavalo de Troia Qbot já é um dos dez principais malwares em nível global
Trojan bancário Qbot agora sequestra ‘threads’ de e-mail do Outlook

O Qbot se move lateralmente para todas as estações de trabalho no ambiente digitalizado, copiando uma DLL para o próximo destino e criando remotamente um serviço para executá-lo. Ao mesmo tempo, a infecção anterior é limpa, então a máquina que acabou de ter suas credenciais exfiltradas é desinfetada e parece normal. Além disso, os serviços criados nas novas estações de trabalho possuem o parâmetro ‘DeleteFlag’, que faz com que sejam removidos na reinicialização do sistema. A movimentação lateral ocorre rapidamente, portanto, se não houver segmentação de rede para proteger as estações de trabalho, a situação se torna muito desafiadora para as equipes de segurança.

O impacto desses ataques rápidos não se limita à perda de dados, pois o Qbot também foi observado para lançar cargas de ransomware em redes corporativas comprometidas. Um relatório da Microsoft de dezembro do ano passado capturou a versatilidade dos ataques do malware, dificultando a avaliação precisa do escopo de suas infecções. Portanto, não importa como a infecção por Qbot se desenrola, é essencial ter em mente que quase todas começam com um e-mail, portanto, esse é o principal ponto de acesso que as organizações precisam fortalecer.

O anúncio da Microsoft de que bloqueará macros em documentos baixados por padrão, removendo os botões ‘Ativar conteúdo’ e ‘Ativar edição’, ajudará bastante a proteger os usuários dos ataques de phishing do Qbot.

Compartilhar:

Últimas Notícias