Qakbot ejecuta escaneos de perfiles detallados de las computadoras infectadas, descarga módulos adicionales y ofrece un cifrado sofisticado. Punto de partida de los ataques: los ciberdelincuentes se enganchan hábilmente a las líneas de comunicación de correo electrónico reales. La botnet Qakbot sigue los pasos de Emotet.
Sophos ha publicado un análisis técnico de Qakbot que muestra que la botnet se está volviendo cada vez más sofisticada y peligrosa para las empresas. En el artículo "Qakbot se inyecta en medio de sus conversaciones", SophosLabs describe una campaña reciente de Qakbot que muestra cómo la botnet se propaga a través del secuestro de hilos de correo electrónico y recopila una variedad de información de perfil de las computadoras recién infectadas. Esto incluye, entre otras cosas, todas las cuentas y permisos de usuario configurados, el software instalado y los servicios en ejecución. La red de bots también descarga una serie de módulos maliciosos adicionales que amplían la funcionalidad de la red de bots principal.
El código de malware de Qakbot presenta un cifrado no convencional. Esto también sirve para disfrazar el contenido de la comunicación. Al descifrar los módulos maliciosos y el sistema de comando y control de la botnet, Sophos descubrió cómo Qakbot recibe sus instrucciones.
La cadena de infección de Qakbot
En la campaña analizada por Sophos, la botnet insertó mensajes maliciosos en el tráfico de correo electrónico existente. Los correos electrónicos contienen una oración corta y un enlace para descargar un archivo zip que contiene un archivo de Excel malicioso. Se solicitó a los usuarios que habilitaran el contenido para activar la cadena de infección. Una vez que la red de bots había infectado un nuevo objetivo, realizaba un análisis de perfil detallado, compartía los datos con su servidor de comando y control y luego descargaba al menos tres módulos maliciosos diferentes en forma de bibliotecas de enlaces dinámicos (DLL). dar a la botnet una gama más amplia de capacidades.
Los módulos importados consistían en:
- Un módulo que inyecta código para robar contraseñas en sitios web
- Un módulo que realiza escaneos de red y recopila datos sobre otras máquinas cercanas a la máquina infectada
- Un módulo que busca las direcciones de una docena de servidores de correo electrónico SMTP (Protocolo simple de transferencia de correo) y luego intenta conectarse a cada uno y enviar spam
Precursores conocidos de un ataque de ransomware
“Qakbot es una botnet modular multipropósito que se distribuye por correo electrónico. Los ciberdelincuentes lo utilizan cada vez más como una herramienta de entrega de malware, similar a Trickbot y Emotet”, dijo Andrew Brandt, investigador principal de amenazas en Sophos. "Nuestro análisis demuestra la recopilación de datos detallados del perfil de la víctima, la capacidad de la botnet para procesar secuencias de comandos complejas y una serie de módulos que amplían la funcionalidad del motor central de la botnet".
Las infecciones de botnet son un conocido precursor de un ataque de ransomware. Esto no se debe solo a que las redes de bots potencialmente generan ransomware. Los desarrolladores de botnets también pueden vender o alquilar su acceso a las redes infectadas. Por ejemplo, los equipos de Sophos han encontrado muestras de Qakbot que entregan balizas Cobalt Strike, el primer paso en la puerta de la red corporativa, directamente a un host infectado. Una vez que los operadores de Qakbot han utilizado la computadora infectada, pueden dar, alquilar o vender acceso a estas balizas a sus clientes.
¿Qué hacer contra Qakbot?
Sophos recomienda tener cuidado con los correos electrónicos inusuales o inesperados, incluso si los mensajes parecen ser respuestas al tráfico de correo electrónico existente. En la campaña de Qakbot que investigó Sophos, el uso de frases en latín en las URL fue una posible señal de alerta.
Además, los equipos de seguridad deben verificar que las protecciones de comportamiento proporcionadas por sus tecnologías de seguridad eviten la infección de Qakbot. Los dispositivos de red también alertan a los administradores cuando un usuario infectado intenta conectarse a una dirección o dominio conocido de comando y control. Para obtener más información, consulte el artículo "Qakbot se inyecta en medio de sus conversaciones" en SophosLabs.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.