Qakbot, un troyano bancario que se propaga por correo electrónico es cada vez más avanzado y peligroso para las organizaciones. Aunque se descubrió en 2007, recientemente, la firma Sophos publicó un análisis técnico profundo sobre esta botnet.
El botnet recopila una amplia gama de información de los equipos infectados, como son las cuentas y permisos de usuario configurados, software instalado, servicios en ejecución, entre otros.
De acuerdo con voceros de Sophos, en los equipos, que mejoran para generar mayor control en la computadora central de la red infectada. Su código de malware presenta encriptación no convencional, que también utiliza para ocultar el contenido de sus comunicaciones.
En el citado analisis se logró descifrar los módulos maliciosos así como el sistema de comando y control de la botnet, de esta manera se pudo interpretar cómo emite y recibe las instrucciones entre los equipos infectados.
Andrew Brandt, investigador principal de amenazas en Sophos, señaló que la botnet captura una serie de datos detallados del perfil de la víctima, así como su capacidad para procesar secuencias complejas de comandos y una serie de cargas útiles para ampliar la funcionalidad de su “motor central”.
Además, las cargas útiles se inyectaron en los navegadores y contenían un módulo que insertó código para robar contraseñas en páginas web, otro que realizó escaneos de red, recopilando datos sobre otras máquinas en las proximidades de la computadora infectada y un tercero que identificaba las direcciones de una docena de servidores de correo electrónico SMTP (Protocolo simple de transferencia de correo)
A mayor riesgo, acciones inmediatas
Brandt considera que toda aparición de una botnet es el precursor lógico de un ataque de ransomware. Por ello, sugiere que los equipos de seguridad tomen muy en serio la presencia de infecciones de Qakbot en su red para investigar y eliminar todo rastro.
“Las redes de bots pueden generar ransomware, pero además los desarrolladores de botnets venden su acceso a las redes violadas posteriormente. Por ejemplo, Sophos encontró muestras de Qakbot que entregan balizas Cobalt Strike directamente a un host infectado.
Hace tiempo, otro reporte del proveedor reveló que los administradores de tecnologías de la información en México no pueden identificar el 51% del tráfico en su red.
Sophos descifró los módulos maliciosos y decodificó el sistema de comando y control de la botnet para interpretar cómo Qakbot recibe las instrucciones.
Qakbot es una botnet modular y multipropósito difundida por correo electrónico que se ha vuelto cada vez más popular entre los atacantes como una red de entrega de malware, como Trickbot y Emotet”, explica Andrew Brandt, investigador principal de amenazas de Sophos. “El análisis profundo de Qakbot de Sophos revela la captura de datos detallados del perfil de la víctima, la capacidad de la botnet para procesar secuencias complejas de comandos y una serie de cargas útiles para ampliar la funcionalidad del motor central de la botnet.
Esto no se debe simplemente a que las botnets pueden entregar ransomware, sino porque sus desarrolladores venden o arriendan su acceso a redes vulneradas.
El informe detalla el funcionamiento de una campaña reciente de Qakbot que muestra cómo la botnet se propaga a través de la vulneración mediante hilos de correo electrónico y recopila una amplia gama de información de las máquinas infectadas, incluidas las cuentas y permisos de usuario configurados, software instalado, servicios en ejecución y más.
“Las redes de bots pueden generar ransomware, pero además los desarrolladores de botnets venden su acceso a las redes violadas posteriormente. Por ejemplo, Sophos encontró muestras de Qakbot que entregan balizas Cobalt Strike directamente a un host infectado. Una vez que los operadores de Qakbot han utilizado la computadora infectada, pueden transferir o vender el acceso a estas balizas a los clientes que las paguen”, señala.
La cadena de infección y las cargas útiles de Qakbot
Se le pide al usuario que “habilite el contenido” para activar la cadena de infección. Una vez que la botnet infectó un nuevo objetivo, realiza un análisis detallado del perfil, comparte los datos con su servidor de comando y control, para luego descargar módulos maliciosos adicionales.
¿Qué recomendamos?
Sophos recomienda que los usuarios se acerquen a los correos electrónicos inusuales o inesperados con precaución, incluso cuando parecen ser respuestas a conversaciones de correo electrónico existentes. En la campaña de Qakbot investigada por Sophos, una posible señal de alerta para los destinatarios fue el uso de frases en latín en las URL.
Los equipos de seguridad deben verificar que las protecciones de comportamiento proporcionadas por su proveedor de seguridad alerten a los administradores si un usuario infectado intenta conectarse a una dirección o dominio conocido de comando y control.
Fuente de información:
https://www.itmastersmag.com/noticias-analisis/qakbot-troyano-bancario-se-hizo-mas-peligroso-sophos/
https://portalinnova.cl/botnet-qakbot-cada-vez-mas-avanzada-y-peligrosa-sophos/