La red de bots Qbot ahora está enviando cargas de malware a través de correos electrónicos de phishing con archivos adjuntos ZIP protegidos con contraseña que contienen paquetes maliciosos de MSI Windows Installer.
Esta es la primera vez que los operadores de Qbot utilizan esta táctica, cambiando de su forma estándar de entregar el malware a través de correos electrónicos de phishing que arrojan documentos de Microsoft Office con macros maliciosas en los dispositivos de los objetivos.
Los investigadores de seguridad sospechan que este movimiento podría ser una reacción directa al anuncio de Microsoft de planes para acabar con la entrega de malware a través de macros de VBA Office en febrero, después de desactivar las macros de Excel 4.0 (XLM) de forma predeterminada en enero.
Microsoft comenzó a implementar la función de bloqueo automático de macros de VBA para los usuarios de Office para Windows a principios de abril de 2022, comenzando con la versión 2203 en el canal actual (versión preliminar) y en otros canales de lanzamiento y versiones anteriores más adelante.
"A pesar de los diversos métodos de correo electrónico que utilizan los atacantes para entregar Qakbot, estas campañas tienen en común el uso de macros maliciosas en documentos de Office, específicamente macros de Excel 4.0", dijo Microsoft en diciembre.
"Cabe señalar que si bien las amenazas usan macros de Excel 4.0 como un intento de evadir la detección, esta función ahora está deshabilitada de forma predeterminada y, por lo tanto, requiere que los usuarios la habiliten manualmente para que dichas amenazas se ejecuten correctamente".
Esta es una mejora de seguridad significativa para proteger a los clientes de Office, ya que el uso de macros VBA maliciosas incrustadas en documentos de Office es un método frecuente para impulsar una gran variedad de cepas de malware en ataques de phishing, incluidos Qbot , Emotet , TrickBot y Dridex .
¿Qué es Qbot?
Qbot (también conocido como Qakbot , Quakbot y Pinkslipbot ) es un troyano bancario modular de Windows con funciones de gusano que se utiliza desde al menos 2007 para robar credenciales bancarias, información personal y datos financieros, así como para colocar puertas traseras en computadoras comprometidas e implementar Cobalt. Faros de ataque.
Este malware también es conocido por infectar otros dispositivos en una red comprometida mediante exploits de recursos compartidos de red y ataques de fuerza bruta altamente agresivos dirigidos a cuentas de administrador de Active Directory.
Aunque estuvo activo durante más de una década, el malware Qbot se ha utilizado principalmente en ataques altamente dirigidos contra entidades corporativas, ya que proporcionan un mayor retorno de la inversión.
Múltiples pandillas de ransomware, incluidas REvil, Egregor, ProLock, PwndLocker y MegaCortex, también han utilizado Qbot para violar las redes corporativas.
Dado que las infecciones de Qbot pueden generar infecciones peligrosas y ataques altamente disruptivos, los administradores de TI y los profesionales de la seguridad deben familiarizarse con este malware, las tácticas que utiliza para propagarse a través de una red y las que utilizan los operadores de botnets para enviarlo a nuevos objetivos.
Un informe de Microsoft de diciembre de 2021 capturó la versatilidad de los ataques de Qbot , lo que dificulta evaluar con precisión el alcance de sus infecciones.
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios