Categories: AMEAÇAS ATUAIS

Qbot: A análise rápida de um cavalo de Troia que rouba dados bancários

Mesmo depois de uma década, seu objetivo principal permaneceu o mesmo; roubar credenciais bancárias e outras informações financeiras.

Destaques recentes

Em agosto de 2020, o Qbot foi observado experimentando vários aprimoramentos.

O cavalo de Troia Qbot foi atualizado em junho de 2020 com uma infraestrutura de comando e controle renovada e novas funções e recursos furtivos para evitar detecção e análise.
Em maio de 2020, ProLock e MegaCortex ransomware estavam usando Qakbot para obter acesso a redes hackeadas. Então, possivelmente, o Qbot pode estar disponível como parte de seu esquema de malware como serviço, ou ambos os ransomware podem ser operados pela gangue por trás do Qakbot.
No mesmo mês, o Qakbot também foi encontrado adicionando tarefas agendadas em sistemas infectados.

Principais alvos

A recente campanha de ataque do QBot foi de março a junho de 2020 e recomeçou novamente em agosto, espalhando-se globalmente e infectando novos alvos.

Em agosto de 2020, o Qakbot foi descartado por meio do malware Emotet em e-mails de spam relacionados ao COVID-19 voltados para empresas dos EUA. Anteriormente, as campanhas Emotet começaram a abandonar o “QakBot” substituindo o TrickBot em julho de 2020.
As indústrias mais visadas foram nos setores governamental, militar e manufatureiro.

Modus operandi

Até julho, o Qbot estava sendo distribuído por meio de várias campanhas de malspam, mas recentemente o Qbot adicionou um truque desagradável para infectar os usuários.

Ele ativa um módulo coletor de email que extrai todos os threads de email do cliente Outlook e os carrega para um servidor remoto codificado. Esses e-mails são (devem ser) utilizados para futuras campanhas de malspam.
Em abril de 2020, observou-se que o cavalo de Troia Qbot foi abandonado por meio de campanhas de phishing sensíveis ao contexto .
Em fevereiro, o malware tentou usar contas de rede de força bruta do grupo Usuários de Domínio do Active Directory em organizações-alvo.

Principais conclusões

Os clientes de serviços bancários devem ficar atentos a e-mails solicitando informações confidenciais e permitir a autenticação de dois fatores para suas contas bancárias. As organizações devem usar software antivírus atualizado, aplicar regularmente patches críticos em seus aplicativos e sistema operacional e inspecionar o tráfego de rede em busca de atividades maliciosas.

Fonte: https://cyware.com/news/qbot-trojan-a-quick-analysis-of-a-decade-old-banking-trojan-bd6d0efd

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.