Qbot: A análise rápida de um cavalo de Troia que rouba dados bancários

Mesmo depois de uma década, seu objetivo principal permaneceu o mesmo; roubar credenciais bancárias e outras informações financeiras.

Destaques recentes

Em agosto de 2020, o Qbot foi observado experimentando vários aprimoramentos.

• O cavalo de Troia Qbot foi atualizado em junho de 2020 com uma infraestrutura de comando e controle renovada e novas funções e recursos furtivos para evitar detecção e análise.
• Em maio de 2020, ProLock e MegaCortex ransomware estavam usando Qakbot para obter acesso a redes hackeadas. Então, possivelmente, o Qbot pode estar disponível como parte de seu esquema de malware como serviço, ou ambos os ransomware podem ser operados pela gangue por trás do Qakbot.
• No mesmo mês, o Qakbot também foi encontrado adicionando tarefas agendadas em sistemas infectados.

Principais alvos

A recente campanha de ataque do QBot foi de março a junho de 2020 e recomeçou novamente em agosto, espalhando-se globalmente e infectando novos alvos. 

• Em agosto de 2020, o Qakbot foi descartado por meio do malware Emotet em e-mails de spam relacionados ao COVID-19 voltados para empresas dos EUA. Anteriormente, as campanhas Emotet começaram a abandonar o “QakBot” substituindo o TrickBot em julho de 2020.
• As indústrias mais visadas foram nos setores governamental, militar e manufatureiro.

Modus operandi

Até julho, o Qbot estava sendo distribuído por meio de várias campanhas de malspam, mas recentemente o Qbot adicionou um truque desagradável para infectar os usuários.

• Ele ativa um módulo coletor de email que extrai todos os threads de email do cliente Outlook e os carrega para um servidor remoto codificado. Esses e-mails são (devem ser) utilizados para futuras campanhas de malspam.
• Em abril de 2020, observou-se que o cavalo de Troia Qbot foi abandonado por meio de campanhas de phishing sensíveis ao contexto .
• Em fevereiro, o malware tentou usar contas de rede de força bruta do grupo Usuários de Domínio do Active Directory em organizações-alvo.

Principais conclusões

Os clientes de serviços bancários devem ficar atentos a e-mails solicitando informações confidenciais e permitir a autenticação de dois fatores para suas contas bancárias. As organizações devem usar software antivírus atualizado, aplicar regularmente patches críticos em seus aplicativos e sistema operacional e inspecionar o tráfego de rede em busca de atividades maliciosas.

Fonte: https://cyware.com/news/qbot-trojan-a-quick-analysis-of-a-decade-old-banking-trojan-bd6d0efd