Os pesquisadores da Check Point detectaram uma evolução do malware Qbot, e numa forma mais perigosa, que passou a sequestrar o histórico de conversas (threads) de e-mails legítimos para roubar credenciais bancárias e cartões de crédito, a instalação de ransomware e para executar transações bancárias não autorizadas, cujo os alvos são organizações e indivíduos.
Identificado pela primeira vez em 2008, o Qbot (também conhecido como Qakbot ou Pinkslipbot) coleta dados de navegação e informações financeiras, incluindo detalhes de bancos online. Atualmente, são mais de 100 mil vítimas desta ciberameaça estimadas no mundo, tornando-se o malware mais difundido no momento. O Qbot coleta e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas vítimas sequestrando conversas de e-mail legítimos.
Os pesquisadores da Check Point encontraram várias campanhas usando a nova família do Qbot entre março e agosto de 2020. Em uma das campanhas, o Qbot estava sendo distribuído pelo trojan Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede. Isso levou os pesquisadores da Check Point a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle renovada. Esta campanha envolvendo distribuição pelo Emotet impactou 5% das organizações globalmente em julho de 2020.
Nova linhagem, novos recursos
A última versão do Qbot evoluiu para se tornar altamente estruturada e em múltiplas camadas, estendendo suas capacidades como se fosse um “canivete suíço” que, de acordo com os pesquisadores, é capaz de:
• Roubar informações de máquinas infectadas, incluindo senhas, e-mails, detalhes de cartão de crédito e muito mais.
• Instalar ransomware: instalar outro malware em máquinas infectadas, incluindo ransomware.
• Permitir transações bancárias não autorizadas: faz com que o controlador do Bot se conecte ao computador da vítima (mesmo quando ela já está conectada) para fazer transações bancárias a partir do seu endereço IP.
Sequestro do histórico de conversas de e-mails
A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, o qual possui um código que pode ser executado no Windows.
Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado. Esses e-mails roubados são, então, utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo. Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à COVID-19, lembretes de pagamento de impostos e recrutamento de empregos.
“Nossa pesquisa mostra como até mesmo formas mais antigas de malwares podem ser atualizadas com novos recursos para torná-los uma ameaça perigosa e persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos. Vimos campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a do Emotet, para espalhar ainda mais a ameaça”, explica Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software Technologies. “Nossa expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing, mesmo quando o e-mail parecer vir de uma fonte confiável”, alerta Balmas.
A seguir, os pesquisadores da Check Point orientam sobre esses sinais de ciberameaças e recomendam como as organizações e os indivíduos podem se proteger contra esses tipos de ataques de phishing:
• Integrar uma solução de segurança de e-mail: O e-mail é, de longe, o principal vetor para atacantes se infiltrarem em redes e PCs e roubarem dados – mais de 80% dos ataques que visam organizações têm início em um e-mail malicioso. Os e-mails de phishing que estimulam os usuários a expor as credenciais de suas organizações ou a clicar em um link / arquivo malicioso são a ameaça número um no espaço de e-mail. As organizações devem sempre implementar uma solução de segurança de e-mail, projetada para prevenir tais ataques automaticamente utilizando mecanismos de segurança continuamente atualizados e, assim, ter uma proteção otimizada contra os múltiplos vetores: phishing, malware, roubo de dados e o sequestro de contas.
• Desconfiar de e-mails que contenham anexos desconhecidos ou solicitações incomuns, mesmo que pareçam vir de fontes confiáveis. É sempre melhor verificar se o e-mail é legítimo antes de clicar em um link ou anexo.
• Adicionar verificação: Ao lidar com transferências bancárias, deve-se sempre se certificar de efetuar uma segunda verificação contatando a pessoa que solicitou a transferência ou ligando para a parte receptora.
• Notificar os parceiros de negócios. Se uma violação de e-mail foi detectada em sua organização, certifique-se também de notificar todos os seus parceiros de negócios, pois qualquer atraso na notificação beneficiará o atacante.
Alvos do Qbot
Os Estados Unidos têm sido o alvo número um dos ataques do Qbot, representando 29% de todos os ataques detectados, seguidos por Índia, Israel e Itália, cada um representando 7% de todos os ataques, respectivamente. Os ataques visam organizações e indivíduos, principalmente dos setores militar, governo e indústria, com o objetivo de colher o máximo possível de dados confidenciais.
Hoje, o Qbot é muito mais perigoso do que era antes, pois tem uma campanha ativa de malspam que infecta as organizações e consegue usar uma infraestrutura de infecção de “terceiros” como a do Emotet para distribuir ainda mais a ameaça. Parece que o grupo de ameaças por trás do Qbot está evoluindo suas técnicas ao longo dos anos, e os pesquisadores da Check Point esperam contribuir com outros pesquisadores ao redor do mundo para mitigar e potencialmente interromper a atividade do Qbot.
Veja os detalhes sobre a cadeia de infecção do Qbot e análise completa dos pesquisadores sobre os recursos e ataques mais recentes deste malware.