O malware QakBot apresenta altos riscos de segurança

3. Novembro 2020
| Sem comentários
XML de ataque QakBot

Compartilhar postagem

O malware QakBot representa um alto risco de segurança devido à baixa taxa de detecção. O QakBot é distribuído por meio de arquivos XLSB, dificultando sua detecção.

Embora o Qakbot não seja novo no céu do malware, o Hornetsecurity Security Lab agora está alertando sobre um novo tipo de distribuição: os especialistas em segurança de TI descobriram que macros XLM são usadas em documentos XLSB para espalhar o malware QakBot. Como as macros XLM e o formato de documento XLSB são incomuns, esses novos documentos maliciosos têm uma taxa de detecção muito baixa pelas soluções antivírus atuais.

O que é QakBot?

O QakBot (também conhecido como QBot, QuakBot, Pinkslipbot) existe desde 2008. O malware é distribuído via Emotet, fazendo com que o Emotet baixe o carregador QakBot nas vítimas infectadas. No entanto, o QakBot também é distribuído diretamente por e-mail. Para isso, as campanhas usam o seqüestro de conversas por e-mail, ou seja, respondem a e-mails encontrados nas caixas de correio das vítimas. O QakBot também é conhecido por escalar ataques baixando o ransomware ProLock.

Por que os ataques não são reconhecidos?

Ataque de processo Hornetsecurity QakBot

Sequência de um ataque QakBot via macros XLM em documentos XLSB. Informação: Hornetsecurity Security Labs (Clique para ampliar)

XLSB é um formato binário de pasta de trabalho do Excel cujo principal objetivo é agilizar a leitura e a escrita no arquivo e reduzir o tamanho de planilhas muito complexas. No entanto, com o atual poder de computação e disponibilidade de memória, a necessidade desse formato binário diminuiu e raramente é usado hoje.
Segundo os especialistas do Hornetsecurity Security Labs, a combinação com as antigas macros XLM, que também não são reconhecidas com muita frequência, significa que os documentos atuais não são identificados como maliciosos por nenhuma das soluções antivírus listadas no VirusTotal.

Disfarçado em um arquivo ZIP

Os arquivos QakBot XLSB são distribuídos em um arquivo ZIP anexado. Este arquivo ZIP contém o documento XLSB que, quando aberto, finge ser um documento criptografado do DocuSign. O usuário deve "Habilitar Edição" e "Habilitar Conteúdo" para descriptografá-lo.
A URL é montada usando a macro XLM e simula o download de um arquivo PNG.
Na realidade, o arquivo PNG é o executável do carregador QakBot.

O que pode ser feito contra esse método de ataque?

  • A maioria das soluções antivírus concentra-se em malware de macro VBA moderno, mas muitas vezes não consegue detectar macros XLM antigas e documentos XLSB que ressurgiram e são menos comuns hoje em dia.
  • As empresas devem, portanto, contar com serviços de segurança avançados, capazes de responder a novas ameaças e métodos de ataque no menor tempo possível.

Os especialistas em segurança do Hornetsecurity Security Lab fornecem uma análise detalhada desse método de ataque em seu blog.

Saiba mais em HornetSecurity.com

 

Sobre o Hornet Security

A Hornetsecurity é a provedora de segurança em nuvem alemã líder na Europa para e-mail e protege a infraestrutura de TI, a comunicação digital e os dados de empresas e organizações de todos os tamanhos. O especialista em segurança de Hanover fornece seus serviços por meio de 10 data centers protegidos de forma redundante em todo o mundo. O portfólio de produtos inclui todas as áreas importantes de segurança de e-mail, desde filtros de spam e vírus por meio de arquivamento e criptografia legalmente compatíveis até defesa contra fraude de CEO e ransomware. A Hornetsecurity é representada globalmente com cerca de 200 funcionários em 12 locais e opera com sua rede internacional de revendedores em mais de 30 países.

 

Artigos relacionados ao tema

Risco: Alto crescimento de API sem segurança de TI suficiente 

Um estudo mostra que nove em cada dez tomadores de decisão sabem que as APIs são um cavalo de Tróia para ataques cibernéticos - mas o ➡ Leia mais

Grande hack no Dropbox Sign

Sign, o serviço Dropbox para assinaturas eletrônicas juridicamente vinculativas em contratos e similares, deve relatar um ataque cibernético. Endereços de e-mail, nomes de usuário, ➡ Leia mais

Cibersegurança através da detecção de ameaças de anomalias

A plataforma Medigate da Claroty recebe uma importante expansão com o módulo Advanced Anomaly Threat Detection (ATD) para detecção de ameaças de anomalias. Obtido assim ➡ Leia mais

LockBit está de volta: ataque cibernético à KJF com 17 clínicas e escolas 

A KJF – sede do Departamento de Bem-Estar da Juventude Católica da Diocese de Augsburg e. V. sofreu um extenso ataque cibernético. Os hackers ao redor ➡ Leia mais

Certificação de cibersegurança da UE

Com o “Esquema Europeu de Cibersegurança baseado em Critérios Comuns” (EUCC), existe agora uma primeira abordagem sistemática para certificar a segurança cibernética. ➡ Leia mais

Criptografe dados confidenciais do Microsoft 365

Para entidades do setor público e empresas de serviços públicos sistemicamente importantes que se enquadram nas diretrizes do KRITIS, as regras para segurança de dados são repetidas ➡ Leia mais

DORA em resposta a ataques cibernéticos no setor financeiro

O número de ataques cibernéticos ao setor financeiro está a aumentar em todo o mundo e, de acordo com os reguladores financeiros, os ataques cibernéticos também estão a ocorrer na Alemanha ➡ Leia mais

Fatal: Diretores administrativos consideram o treinamento de conscientização desnecessário

Um inquérito representativo mostra que quase metade da gestão alemã considera desnecessária uma importante formação de sensibilização para a segurança. Esta avaliação revela ➡ Leia mais

mensagens de relações públicas
, , , , ,