Una nueva variante del malware Qbot utiliza una ventana emergente falsa en Adobe

Una nueva variante del malware Qbot parece estar en fase de pruebas por sus desarrolladores o alguien con acceso al código fuente, ya que se han observado nuevas compilaciones en campañas de correo electrónico desde mediados de diciembre.

Una de las variantes observadas utiliza en Windows un instalador falso de un producto de Adobe para engañar al usuario y desplegar el malware.

También conocido como QBot, el malware ha servido durante muchos años como cargador para diversas cargas maliciosas, incluido ransomware, que se entrega a las víctimas principalmente por correo electrónico.

Hasta su desmantelamiento en agosto pasado, QBot había infectado más de 700,000 sistemas y en solo 18 meses causó daños financieros estimados en más de $58 millones.

Con el nombre en código Duck Hunt, la operación no implicó ningún arresto, y muchos investigadores de seguridad creían que los desarrolladores de Qakbot reconstruirían su infraestructura y reiniciarían las campañas de distribución.

El año pasado, Cisco Talos informó sobre una campaña de phishing de Qakbot que había comenzado antes del desmantelamiento y aún estaba activa a principios de octubre. Los investigadores creen que esto fue posible porque las fuerzas del orden público solo interrumpieron los servidores de comando y control del malware, no la infraestructura de entrega de spam.

En diciembre de 2023, Microsoft observó una campaña de phishing de QBot que se hacía pasar por el IRS, confirmando los temores sobre el regreso del malware.

El Grupo de Trabajo Conjunto de Respuesta Avanzada a Amenazas de Sophos, o Sophos X-Ops para abreviar, ha detectado recientemente nueva actividad de Qbot, con hasta 10 nuevas compilaciones de malware emergentes desde mediados de diciembre.



Los nuevos desarrollos relacionados con Qbot también han sido observados por investigadores de la empresa de seguridad en la nube Zscaler, quienes publicaron a finales de enero un informe técnico sobre el malware y su evolución desde 2008.

Nuevas variantes de QBot

Los analistas de Sophos X-Ops realizaron ingeniería inversa de nuevas muestras de Qbot, notando pequeños incrementos en el número de compilación, lo que indica que los desarrolladores están probando y refinando los binarios.

Las muestras de diciembre y enero llegaron como un ejecutable de Microsoft Software Installer (.MSI) que soltaba un archivo binario DLL mediante un archivo .CAB (Windows Cabinet).

Este método difiere de las versiones anteriores que inyectaban código en procesos benignos de Windows (AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe) para evadir la detección.

Las nuevas variantes de Qakbot utilizan técnicas de ofuscación mejoradas, incluido cifrado avanzado para ocultar cadenas y comunicación de comando y control (C2).

Específicamente, el malware utiliza cifrado AES-256 además del método XOR visto en muestras anteriores.

El malware busca software de protección de punto final y reintrodujo verificaciones para entornos virtualizados, intentando evadir la detección entrando en un bucle infinito si se encuentra en una máquina virtual.



Comprobaciones antivirus realizadas por QBot (Sophos)

Además, Qakbot presenta una ventana emergente engañosa que sugiere que Adobe Setup se está ejecutando en el sistema, para engañar a los usuarios con falsas solicitudes de instalación que lanzan el malware independientemente de lo que se haga clic.


Los investigadores de Sophos afirman que al monitorear de cerca el desarrollo de QBot, pueden actualizar sus reglas de detección y compartir información crucial con otros proveedores de seguridad.

Aunque ha surgido un pequeño número de muestras después de que la infraestructura C2 de Qbot fuera desmantelada el año pasado, los investigadores creen "que cualquier actividad de los actores de amenazas para recuperarlo merece vigilancia y escrutinio".


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta