Home  >  Segurança

Malware Qbot ressurge em novo ataque contra empresas

Nova versão, persistente e dificilmente detectável, foi projetada para roubar informações financeiras

Lucian Constantin, CSO

07/03/2019 às 14h30

Foto: Shutterstock

O malware financeiro Qbot de dez anos ressurgiu com uma versão melhorada em um novo ataque contra empresas infectando milhares de sistemas até o momento. Pesquisadores do provedor de soluções de segurança de dados Varonis descobriram o ataque depois que um cliente os alertou sobre atividades suspeitas em um computador. O culpado mostrou ser uma infecção em uma nova linhagem de Qbot, também conhecida como Qakbot, que estava tentando se espalhar para outros sistemas na rede.

Qbot é um dos mais bem sucedidos das famílias de malware da última década, em parte porque seu código-fonte está disponível para os criminosos cibernéticos, sendo facilmente modificado e estendido. O programa malicioso começou como um Trojan projetado para roubar credenciais bancárias online, mas recebeu muitas melhorias ao longo dos anos.

O Qbot, curiosamente, é uma ameaça semi-polimórfica, porque seus servidores de comando e controle recodificam o código e a configuração periodicamente para evitar a detecção de antivírus baseada em assinatura. A ameaça também tem recursos parecidos com worms que permitem que ela se mova lateralmente através de redes corporativas, forçando as credenciais de domínio do Windows.

Como o novo ataque Qbot funciona

No ataque investigado pela Varonis, o instalador inicial ou “dropper” provavelmente foi entregue como um anexo de e-mail, cuja extensão era .doc .vbs. VBS é uma linguagem de script que é suportada nativamente pelo Windows.

Se executado, o script mal-intencionado faz o download do carregador do Qbot de um servidor de comando e controle usando a ferramenta linha de comando do Windows BITSAdmin. As versões anteriores do Qbot usavam o PowerShell para esta finalidade, mas como o PowerShell se tornou um método comum de distribuição de malware, seu uso é monitorado de perto nos sistemas corporativos. “O carregador, que executa o malware principal, tem várias versões e está constantemente sendo atualizado mesmo após a execução”, disseram os pesquisadores da Varonis em seu relatório.

cyber_security

A versão recebida pela vítima depende de um parâmetro codificado no arquivo VBS, portanto, possivelmente, há diferentes campanhas de email segmentadas para diferentes tipos de usuários e organizações. Além disso, a Varonis encontrou carregadores que foram assinados digitalmente com oito certificados de assinatura de código diferentes, que provavelmente foram roubados de várias entidades.

Se um arquivo é assinado digitalmente, isso não significa que ele não seja malicioso; igualmente, se um site usa o protocolo HTTPS, isso não significa que ele não esteja hospedando malware ou páginas de phishing. No entanto, os arquivos assinados digitalmente acionam menos avisos assustadores no Windows e, às vezes, são confiados automaticamente por agentes de segurança finais mal configurados ou por soluções de lista branca.

Uma vez instalado, o Qbot cria tarefas agendadas e adiciona entradas ao registro do sistema para obter permanência. O malware, então, começa a registrar todas as teclas digitadas pelos usuários, rouba credenciais e cookies de autenticação salvos em navegadores e injeta código malicioso em outros processos para procurar e roubar strings relacionadas à finanças.

A Varonis obteve acesso a um dos servidores de comando e controle usados pelos invasores, e encontrou logs mostrando 2.726 endereços IP de vítimas únicas. Mais de 1.700 estavam localizadas nos EUA, mas também foram encontradas no Canadá, Reino Unido, Alemanha, França, Brasil, África do Sul, Índia, China e Rússia.

Como os computadores dentro de uma organização geralmente acessam a Internet por meio de um endereço IP compartilhado, os pesquisadores acreditam que o número de sistemas infectados individualmente seja muito maior. Além disso, os registros mostraram que muitos dos sistemas comprometidos tinham programas antivírus de vários fornecedores instalados, destacando mais uma vez a capacidade do Qbot de evitar a detecção de antivírus.

 

Tags