trojan-bancario.jpg

Trojan bancário Qbot agora sequestra ‘threads’ de e-mail do Outlook

Técnica mais recente do cavalo de Troia é sequestrar o histórico de conversas de e-mails legítimos e roubar credenciais bancárias e cartões de crédito
Da Redação
27/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Com mais de uma década em atividade atormentando usuários de computador e empresas, o trojan Qbot agora ganhou recursos novos e perigosos. A técnica mais recente observada por pesquisadores de segurança da Check Point Software envolve a inserção do cavalo de Troia para sequestrar o histórico de conversas (threads) de e-mails legítimos e roubar credenciais bancárias e cartões de crédito para executar transações bancárias não autorizadas, cujos alvos são organizações e indivíduos.

Também conhecido como Qakbot ou Pinkslipbot, o Qbot começou como um cavalo de Troia bancário focado em roubar credenciais de banco online, mas desde então evoluiu e se transformou numa espécie de “canivete suíço” que é usado para vários fins, incluindo distribuição de ransomware, de acordo com os pesquisadores de segurança.

Segundo a empresa de segurança cibernética, já são mais de 100 mil vítimas dessa ciberameaça estimadas no mundo, tornando-se o malware mais difundido no momento. O Qbot coleta e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas vítimas sequestrando conversas de e-mail legítimos.

A Check Point Software rastreou as campanhas mais recentes do malware e encontrou várias delas usando a nova família do Qbot entre março e agosto deste ano. No final do mês passado, uma nova variante do Qbot começou a ser distribuída por outro trojan chamado Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede. Isso levou os pesquisadores da empresa a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle (C&C) renovada.

Veja isso
Cibercrime internacional já opera com trojans feitos no Brasil
Trojan bancário ZLoader ressurge em e-mails de phishing

A campanha envolvendo distribuição pelo Emotet impactou 5% das organizações em todo o mundo. Essa nova variante exibiu novos recursos e uma nova infraestrutura de comando e controle. Isso continuou com uma campanha de distribuição renovada do Qbot no início deste mês.

Sequestro do histórico de conversas de e-mails

A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, o qual possui um código que pode ser executado no Windows.

Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado. Esses e-mails roubados são, então, utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo.

Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à covid-19, lembretes de pagamento de impostos e recrutamento de empregos.

“Nossa pesquisa mostra como até mesmo formas mais antigas de malwares podem ser atualizadas com novos recursos para torná-los uma ameaça perigosa e persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos. Vimos campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a do Emotet, para espalhar ainda mais a ameaça”, explica Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software.

“Nossa expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing, mesmo quando o e-mail parecer vir de uma fonte confiável”, alerta ele.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório