4 de maio de 2024

Qbot: A análise rápida de um cavalo de Troia que rouba dados bancários

2 de setembro de 2020

Qbot, também conhecido como QakBot, é um cavalo de Tróia que vem com recursos de furto e roubo de informações. Ativo desde 2008, este bot foi recentemente usado em uma campanha de ataque Emotet .

Mesmo depois de uma década, seu objetivo principal permaneceu o mesmo; roubar credenciais bancárias e outras informações financeiras.

Destaques recentes

Em agosto de 2020, o Qbot foi observado experimentando vários aprimoramentos.

  • O cavalo de Troia Qbot foi atualizado em junho de 2020 com uma infraestrutura de comando e controle renovada e novas funções e recursos furtivos para evitar detecção e análise.
  • Em maio de 2020, ProLock MegaCortex ransomware estavam usando Qakbot para obter acesso a redes hackeadas. Então, possivelmente, o Qbot pode estar disponível como parte de seu esquema de malware como serviço, ou ambos os ransomware podem ser operados pela gangue por trás do Qakbot.
  • No mesmo mês, o Qakbot também foi encontrado adicionando tarefas agendadas em sistemas infectados.

Principais alvos

recente campanha de ataque do QBot foi de março a junho de 2020 e recomeçou novamente em agosto, espalhando-se globalmente e infectando novos alvos. 

  • Em agosto de 2020, o Qakbot foi descartado por meio do malware Emotet em e-mails de spam relacionados ao COVID-19 voltados para empresas dos EUA. Anteriormente, as campanhas Emotet começaram a abandonar o “QakBot” substituindo o TrickBot em julho de 2020.
  • As indústrias mais visadas foram nos setores governamental, militar e manufatureiro.

Modus operandi

Até julho, o Qbot estava sendo distribuído por meio de várias campanhas de malspam, mas recentemente o Qbot adicionou um truque desagradável para infectar os usuários.

  • Ele ativa um módulo coletor de email que extrai todos os threads de email do cliente Outlook e os carrega para um servidor remoto codificado. Esses e-mails são (devem ser) utilizados para futuras campanhas de malspam. 
  • Em abril de 2020, observou-se que o cavalo de Troia Qbot foi abandonado por meio de campanhas de phishing sensíveis ao contexto .
  • Em fevereiro, o malware tentou usar contas de rede de força bruta do grupo Usuários de Domínio do Active Directory em organizações-alvo.

Principais conclusões

Os clientes de serviços bancários devem ficar atentos a e-mails solicitando informações confidenciais e permitir a autenticação de dois fatores para suas contas bancárias. As organizações devem usar software antivírus atualizado, aplicar regularmente patches críticos em seus aplicativos e sistema operacional e inspecionar o tráfego de rede em busca de atividades maliciosas.

Fonte: https://cyware.com/news/qbot-trojan-a-quick-analysis-of-a-decade-old-banking-trojan-bd6d0efd

Matérias Relacionadas

A ameaça Darkgate: aproveitando o Autohotkey e bypass do smartscreen

30 de abril de 2024

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Veja mais..

Pagamentos de resgate aumentam 500%, para uma média de US$ 2 milhões

2 de maio de 2024

Hackers visam a Suécia, novo membro da OTAN, com aumento de ataques DDoS

2 de maio de 2024

Novo botnet “Goldoon” direcionado a dispositivos D-Link

2 de maio de 2024

DBIR: Explorações de vulnerabilidade triplicam como ponto de acesso inicial para violações de dados

2 de maio de 2024

HPE Aruba Networking corrige quatro falhas críticas de RCE no ArubaOS

2 de maio de 2024