Qbot usa um novo módulo coletor de e-mail na última campanha

Pesquisadores da Check Point estão alertando sobre uma nova tendência observada na campanha do cavalo de Troia QBot visando usuários do Microsoft Outlook,

Os operadores do cavalo de Troia QBot estão usando novas táticas para sequestrar conversas de e-mail legítimas e roubar dados pessoais e financeiros das vítimas.

Os agentes de ameaças estão empregando um novo módulo projetado especificamente para coletar e comprometer threads de email em sistemas infectados. 

QBot, também conhecido como Qakbot e Pinkslipbot , está ativo desde 2008 e é usado por malware para coletar dados de navegação e credenciais bancárias e outras informações financeiras das vítimas.

De acordo com os especialistas, o Trojan QBot infectou mais de 100.000 sistemas em todo o mundo.

Sua estrutura modular permite que as operadoras implementem novos recursos para ampliar suas capacidades.

Os pesquisadores da CheckPoint observaram uma nova variante do QBot sendo espalhada em várias campanhas entre março e agosto como resultado de infecções pelo Emotet . Os pesquisadores estimam que uma dessas campanhas, ocorrida em julho, impactou cerca de 5% das organizações em todo o mundo. A maioria das infecções foi observada em organizações nos EUA e na Europa; as indústrias mais direcionadas foram nos setores governamental, militar e manufatureiro. 

“Um dos novos truques do Qbot é particularmente desagradável, pois uma vez que uma máquina é infectada, ele ativa um ‘módulo coletor de e-mail’ especial que extrai todos os tópicos de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado.” lê a análise publicada pela CheckPoint. “Esses e-mails roubados são então utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa de e-mail legítima existente.”

As mensagens de spam contêm URLs para arquivos .ZIP que atendem a conteúdo VBS projetado para baixar a carga de um dos seis URLs criptografados codificados. 

Ao infectar um sistema, um novo módulo na última variante QBot implementa um coletor de e-mail que extrai todos os threads de e-mail contidos em um cliente Outlook e os carrega para o servidor C2 do invasor.  

Os invasores podem sequestrar os threads de email para propagar o malware.

Os especialistas da Check Point analisaram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à Covid-19, lembretes de pagamento de impostos e conteúdo de recrutamento de empregos.

Os pesquisadores documentaram a introdução de vários módulos de QBots:

• Atualização executável – atualiza o executável atual com uma versão ou lista de bots mais recentes.
• Módulo Coletor de E-mail – Extrai todos os threads de e-mail do cliente Outlook da vítima usando MAPI32.dll API e os carrega para um servidor remoto codificado.

• Módulo Hooking – O módulo se injeta em todos os processos em execução e conecta funções API relevantes.
• Arquivo Web-Inject – O arquivo fornece ao módulo injetor uma lista de sites e código JavaScript que será injetado se a vítima visitar qualquer um desses sites.
• Módulo Password Grabber – um grande módulo que baixa o Mimikatz e tenta coletar senhas.
• Plug-in hVNC – Permite controlar a máquina da vítima por meio de uma conexão VNC remota, por exemplo, para realizar transações bancárias em seu nome.
• JS Updater Loader – descriptografa e grava um script atualizador Javascript.
• Cookie Grabber Module – direcionado a navegadores populares: IE, Edge, Chrome e Firefox.

“Hoje em dia, o Qbot é muito mais perigoso do que antes – ele tem campanhas ativas de malspam que infectam as organizações e consegue usar uma infraestrutura de infecção de terceiros, como a da Emotet, para espalhar a ameaça ainda mais”, concluem os pesquisadores. “Parece que o grupo de ameaças por trás do Qbot está evoluindo suas técnicas ao longo dos anos”