Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / General / Qbot reaparece como Qakbot para atacar a entidades financieras

Qbot reaparece como Qakbot para atacar a entidades financieras

Por Deja un comentario

Se ha publicado la noticia en la que se alerta de la evolución del malware bancario Qbot, a la se le ha denominado como Qakbot.

Qbot fue un malware bancario detectado en 2009 y cuya actividad era la infección de las máquinas para la obtención de credenciales bancarias, actividad que consiguió afectar miles de ordenadores.

La detección de la muestra se ha logrado gracias a un comportamiento anómalo detectado en una de las redes monitorizadas por la solución data-alert de Varonis. Después de su detección y análisis se ha publicado un estudio alertando de la evolución de esta familia de malware.

Ataque e infección:

Fichero analizado: REQ_02132019b.doc.vbs
sha1: c4b0e2161b44fa580d00cccd3b3c70b957d6f64

Lo más relevante de la evolución del malware es sin duda su polimorfismo es decir, que se encuentra cambiando continuamente, dificultando muchísimo su análisis estático. También ha llamado la atención la aleatoriedad de los nombres que componen el proceso de infección así como la diferencia de comportamiento de la muestra cuando esta está conectada a Internet o no.

La muestra analizada intentaba enmascararse bajo un fichero ‘*.doc’ (Microsoft Word) cuando en realidad era un fichero ‘.*vbs’ (VisualBasicScript) utilizando un ataque de doble extensión (‘*.doc.vbs’), el cual era enviado como adjunto en un correo electrónico fraudulento, técnica habitualmente conocida y practicada por todo tipo de atacantes.

Para las comunicaciones iniciales esta muestra utilizaba ‘BITSAdmin’ desde el script de Visual Basic. Una herramienta de línea de comandos, creada para monitorizar los procesos de transferencias de red. Técnica astuta por parte de los creadores de la muestra ya que con esto evitan el uso de ‘PowerShell’ que está mucho más monitorizada por los motores antivirus.

A continuación se muestran las direcciones web de descarga de los archivos de configuración de la muestra.

Persistencia y robo:

Nombre del fichero: widgetcontrol.png
sha1: 10c540521ae79a8631daa3db4ab958744ffc3f39

El archivo descargado, será inyectado en el proceso explorer.exe del sistema, proceso necesario para el entorno gráfico de Windows. El archivo inyectado será, o puede ser, diferente en cada ejecución del malware, característia añadida en el complejo polimorfismo del que dispone la muestra.

Otra característica importante del archivo descargado es que viene firmado digitalmente, esto permite que el sistema operativo no alerte de que un archivo sospechoso se va a ejecutar. Para que el fichero descargado esté validado correctamente, debe de ser firmado con un certificado, previamente autorizado por una entidad de confianza. En muchos casos, estos certificados son obtenidos en ataques previos a otras entidades.

Los certificados utilizados por el malware son los siguientes:

  • Saiitech Systems Limited
  • ECDJB Limited
  • Hitish Patel Consulting Ltd
  • Doorga Limited
  • INTENTEK LIMITED
  • Austek Consulting Limited
  • IO Pro Limited
  • Vercoe IT Ltd
  • Edsabame Consultants Ltd
  • SOVA CONSULTANCY LTD

Una vez descargado estos ficheros el malware creará varias vías para mantener la persistencia en el sistema:

  • Creación de una clave en el registro de Windows para que arranque una vez se inicie el sistema operativo.
  • Programación de una tarea a través de una líne a de comandos utilizando el programador de tareas de Windows.
  • Creación de un enlace en la carpeta de inicio de Windows.

Una vez tiene persistencia en el equipo de la víctima, el malware utilizará diversas técnicas para el robo de credenciales:

  • A través de un keylogging, es decir, mediante la monitorización de las teclas pulsadas por el usuario.
  • A través de las cookies guardadas en el navegador del sistema.
  • A través del hookeo de las llamadas a las API de ciertas entidades financieras, es decir mediantes la monitorización y modificación de las comunicaciones de red con las entidades financieras.

En el momento de la investigación el servidor de control y comandos (C&C) estaba activo, permitiendo ver a los investigadores el alcance de la muestra, que aunque la campaña de infección está centrada en Estados unidos, también se ha encontradon rastros de actividades en Parte de Asia, Europa y Sudamérica.

Más información:

Varonis Exposes Global Cyber Campaign: C2 Server Actively Compromising Thousands of Victims.
https://www.varonis.com/blog/varonis-discovers-global-cyber-campaign-qbot/

Qbot-analysis
https://github.com/varonis/qbot-analysis

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.