Créditos da imagem: Imagem de mohamed Hassan por Pixabay
Os pesquisadores da Check Point Software Technologies detectaram uma evolução do malware Qbot, e numa forma mais perigosa, que passou a sequestrar o histórico de conversas (threads) de e-mails legítimos para roubar credenciais bancárias e cartões de crédito, a instalação de ransomware e para executar transações bancárias não autorizadas, cujo os alvos são organizações e indivíduos.
Identificado pela primeira vez em 2008, o Qbot (também conhecido como Qakbot ou Pinkslipbot) coleta dados de navegação e informações financeiras, incluindo detalhes de bancos online. Atualmente, são mais de 100 mil vítimas desta ciberameaça estimadas no mundo, tornando-se o malware mais difundido no momento. O Qbot coleta e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas vítimas sequestrando conversas de e-mail legítimos.
Os pesquisadores da Check Point encontraram várias campanhas usando a nova família do Qbot entre março e agosto de 2020. Em uma das campanhas, o Qbot estava sendo distribuído pelo trojan Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede. Isso levou os pesquisadores da Check Point a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle renovada. Esta campanha envolvendo distribuição pelo Emotet impactou 5% das organizações globalmente em julho de 2020.
Nova linhagem, novos recursos
A última versão do Qbot evoluiu para se tornar altamente estruturada e em múltiplas camadas, estendendo suas capacidades como se fosse um “canivete suíço” que, de acordo com os pesquisadores, é capaz de roubar informações de máquinas infectadas, incluindo senhas, e-mails, detalhes de cartão de crédito e muito mais instalando ransomware e outro malware em máquinas infectadas.
Pode também permitir transações bancárias não autorizadas, fazendo com que o controlador do Bot se conecte ao computador da vítima (mesmo quando ela já está conectada) para fazer transações bancárias a partir do seu endereço IP.
Sequestro do histórico de conversas de e-mails
A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, o qual possui um código que pode ser executado no Windows.
Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado. Esses e-mails roubados são, então, utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo. Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à Covid-19, lembretes de pagamento de impostos e recrutamento de empregos.
“Nossa pesquisa mostra como até mesmo formas mais antigas de malwares podem ser atualizadas com novos recursos para torná-los uma ameaça perigosa e persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos. Vimos campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a do Emotet, para espalhar ainda mais a ameaça”, explica Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software Technologies. “Nossa expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing, mesmo quando o e-mail parecer vir de uma fonte confiável”, alerta Balmas.
A seguir, os pesquisadores da Check Point orientam sobre esses sinais de ciberameaças e recomendam como as organizações e os indivíduos podem se proteger contra esses tipos de ataques de phishing:
1. Integrar uma solução de segurança de e-mail: O e-mail é, de longe, o principal vetor para atacantes se infiltrarem em redes e PCs e roubarem dados – mais de 80% dos ataques que visam organizações têm início em um e-mail malicioso. Os e-mails de phishing que estimulam os usuários a expor as credenciais de suas organizações ou a clicar em um link / arquivo malicioso são a ameaça número um no espaço de e-mail. As organizações devem sempre implementar uma solução de segurança de e-mail, projetada para prevenir tais ataques automaticamente utilizando mecanismos de segurança continuamente atualizados e, assim, ter uma proteção otimizada contra os múltiplos vetores: phishing, malware, roubo de dados e o sequestro de contas.
2. Desconfiar de e-mails que contenham anexos desconhecidos ou solicitações incomuns, mesmo que pareçam vir de fontes confiáveis. É sempre melhor verificar se o e-mail é legítimo antes de clicar em um link ou anexo.
3. Adicionar verificação: Ao lidar com transferências bancárias, deve-se sempre se certificar de efetuar uma segunda verificação contatando a pessoa que solicitou a transferência ou ligando para a parte receptora.
4. Notificar os parceiros de negócios. Se uma violação de e-mail foi detectada em sua organização, certifique-se também de notificar todos os seus parceiros de negócios, pois qualquer atraso na notificação beneficiará o atacante.
Alvos do Qbot
Os Estados Unidos têm sido o alvo número um dos ataques do Qbot, representando 29% de todos os ataques detectados, seguidos por Índia, Israel e Itália, cada um representando 7% de todos os ataques, respectivamente. Os ataques visam organizações e indivíduos, principalmente dos setores militar, governo e indústria, com o objetivo de colher o máximo possível de dados confidenciais.
Hoje, o Qbot é muito mais perigoso do que era antes, pois tem uma campanha ativa de malspam que infecta as organizações e consegue usar uma infraestrutura de infecção de “terceiros” como a do Emotet para distribuir ainda mais a ameaça. Parece que o grupo de ameaças por trás do Qbot está evoluindo suas técnicas ao longo dos anos, e os pesquisadores da Check Point esperam contribuir com outros pesquisadores ao redor do mundo para mitigar e potencialmente interromper a atividade do Qbot.
Detalhes sobre a cadeia de infecção do Qbot e análise completa dos pesquisadores sobre os recursos e ataques mais recentes deste malware podem ser consultados em:
https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo