Con la ayuda de una nueva ola de ataques con archivos PDF infectados, el troyano bancario Qbot quiere expandirse aún más. Las empresas en particular a menudo reciben los archivos infectados en su buzón. La campaña de phishing también se propaga a través de archivos maliciosos en alemán.
Los expertos de Kaspersky detectaron una nueva ola de actividad de malware Qbot a principios de este mes. Se dirige a usuarios comerciales y se distribuye a través de una campaña de correo electrónico no deseado malicioso. Los ciberdelincuentes utilizan técnicas avanzadas de ingeniería social para su proyecto: interceptan la correspondencia de correo electrónico existente y reenvían archivos adjuntos en PDF maliciosos dentro de la conversación. Hasta el momento, las soluciones de Kaspersky han detectado más de 5.000 correos electrónicos de este tipo con archivos adjuntos en PDF en diferentes países, incluida Alemania.
Qbot: troyano bancario particularmente peligroso
Qbot es un troyano bancario notorio que funciona como parte de una red de bots y puede robar datos como contraseñas y correspondencia de correo electrónico comercial. También permite a los actores de amenazas tomar el control de un sistema infectado e instalar ransomware u otros troyanos en los dispositivos de la red. El malware se distribuye utilizando una variedad de métodos, incluso como un archivo PDF adjunto malicioso en los correos electrónicos, lo que no ha sido común en esta campaña hasta ahora.
Desde principios de abril de este año, ha habido una mayor actividad en una campaña de correo electrónico no deseado que utiliza este esquema particular con archivos adjuntos en PDF. La ola actual de ataques comenzó la noche del 4 de abril: desde entonces, los expertos de Kaspersky han detectado más de 5.000 correos electrónicos no deseados que contienen archivos PDF en inglés, alemán, italiano y francés que propagan este malware.
Correspondencia de correo electrónico robada de empresas
El troyano bancario se distribuye a través de la correspondencia comercial genuina de una víctima potencial, previamente robada por los ciberdelincuentes. Para hacer esto, se reenvía un correo electrónico a todos los participantes en el hilo existente, en el que generalmente se les pide que abran el archivo PDF adjunto malicioso, dando una razón plausible. Los atacantes piden, por ejemplo, enviar todos los documentos contenidos en el archivo adjunto o calcular el monto del pedido acordado en función de los costos estimados en el archivo adjunto. Cuando se abre el PDF, se descarga un archivo malicioso a la computadora de la víctima desde un servidor remoto.
“La funcionalidad central del malware Qbot no ha cambiado en los últimos dos años; Aconsejamos a las empresas que se mantengan alerta, ya que el malware es muy peligroso”, comenta Darya Ivanova, analista de malware de Kaspersky. “Los ciberdelincuentes evolucionan constantemente sus técnicas e incorporan elementos adicionales de ingeniería social más convincentes. Esto aumenta la probabilidad de que un empleado caiga en la trampa. Para protegerse contra esto, las señales de advertencia como la ortografía de la dirección de correo electrónico del remitente, los archivos adjuntos extraños o los errores gramaticales deben verificarse cuidadosamente. Sobre todo, el uso de soluciones especiales de ciberseguridad puede garantizar la seguridad de los correos electrónicos comerciales”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/