Com mais de uma década em atividade atormentando usuários de computador e empresas, o trojan Qbot agora ganhou recursos novos e perigosos. A técnica mais recente observada por pesquisadores de segurança da Check Point Software envolve a inserção do cavalo de Troia para sequestrar o histórico de conversas (threads) de e-mails legítimos e roubar credenciais bancárias e cartões de crédito para executar transações bancárias não autorizadas, cujos alvos são organizações e indivíduos.
Também conhecido como Qakbot ou Pinkslipbot, o Qbot começou como um cavalo de Troia bancário focado em roubar credenciais de banco online, mas desde então evoluiu e se transformou numa espécie de “canivete suíço” que é usado para vários fins, incluindo distribuição de ransomware, de acordo com os pesquisadores de segurança.
Segundo a empresa de segurança cibernética, já são mais de 100 mil vítimas dessa ciberameaça estimadas no mundo, tornando-se o malware mais difundido no momento. O Qbot coleta e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas vítimas sequestrando conversas de e-mail legítimos.
A Check Point Software rastreou as campanhas mais recentes do malware e encontrou várias delas usando a nova família do Qbot entre março e agosto deste ano. No final do mês passado, uma nova variante do Qbot começou a ser distribuída por outro trojan chamado Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede. Isso levou os pesquisadores da empresa a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle (C&C) renovada.
Veja isso
Cibercrime internacional já opera com trojans feitos no Brasil
Trojan bancário ZLoader ressurge em e-mails de phishing
A campanha envolvendo distribuição pelo Emotet impactou 5% das organizações em todo o mundo. Essa nova variante exibiu novos recursos e uma nova infraestrutura de comando e controle. Isso continuou com uma campanha de distribuição renovada do Qbot no início deste mês.
Sequestro do histórico de conversas de e-mails
A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, o qual possui um código que pode ser executado no Windows.
Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado. Esses e-mails roubados são, então, utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo.
Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à covid-19, lembretes de pagamento de impostos e recrutamento de empregos.
“Nossa pesquisa mostra como até mesmo formas mais antigas de malwares podem ser atualizadas com novos recursos para torná-los uma ameaça perigosa e persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos. Vimos campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a do Emotet, para espalhar ainda mais a ameaça”, explica Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software.
“Nossa expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing, mesmo quando o e-mail parecer vir de uma fonte confiável”, alerta ele.
