Trojan QBot se espalha por e-mails corporativos

O objetivo da campanha é infectar os computadores das vítimas com o malware QBot, também conhecido como QakBot, QuackBot ou Pinkslipbot

No início de abril, os especialistas da Kaspersky descobriram uma campanha de e-mail em massa enviando mensagens com um PDF malicioso anexado. Os invasores estão de olhos nas empresas: um documento perigoso é anexado à mensagem comercial (vimos e-mails escritos em inglês, alemão, italiano e francês).

O objetivo da campanha é infectar os computadores das vítimas com o malware QBot, também conhecido como QakBot, QuackBot ou Pinkslipbot. Curiosamente, cerca de um ano atrás, nossos especialistas observaram um aumento repentino semelhante no fluxo de e-mails que entregavam malware (incluindo QBot).

Como é esse ataque do ponto de vista da vítima

O ataque é baseado em táticas de “sequestro de conversas”. Os hackers obtêm acesso a correspondência comercial genuína (o QBot, entre outras coisas, rouba e-mails armazenados localmente dos computadores das vítimas anteriores) e participam de conversas, enviando suas mensagens como se estivessem em uma discussão antiga. Seus e-mails tentam convencer as vítimas a abrir um arquivo PDF anexado, fazendo-o passar por uma lista de despesas ou outro documento comercial que exija algum tipo de reação rápida.

Na realidade, o PDF contém uma notificação de imitação do Microsoft Office 365 ou do Microsoft Azure. Esta notificação tenta fazer com que a vítima clique no botão “Abrir”. Se a vítima o fizer, um arquivo protegido por senha é baixado no computador (com a senha no texto da própria “notificação”). Em seguida, espera-se que o destinatário descompacte o arquivo e execute o .wsf (arquivo de script do Windows) dentro dele. Este é um script malicioso que baixa o malware QBot de um servidor remoto. Uma descrição técnica mais detalhada de todos os estágios do ataque, junto com indicadores de comprometimento, pode ser encontrada aqui no site da Securelist.

O que pode levar a uma infecção QBot?

Nossos especialistas classificam o QBot como um trojan bancário. Ele permite que invasores extraiam credenciais (logins e senhas) e cookies de navegadores, roubem correspondência, espionem atividades bancárias e registrem teclas digitadas. Ele também pode instalar outro malware (ransomware, por exemplo).

Como se manter protegido?

Para proteger sua empresa das ações de cibercriminosos, recomendamos a instalação de uma solução de cibersegurança confiável em todos os dispositivos corporativos com acesso à internet. Também é útil equipar o gateway de e-mail com um produto capaz de filtrar e-mails maliciosos, de phishing e spam. Por fim, para capacitar seus funcionários a identificar de forma independente os truques do invasor, é necessário regularmente aumentar a conscientização sobre as ciberameaças atuais.