O Varonis Security Research, time de pesquisas em segurança da informação da Varonis, empresa pioneira em segurança e análise de dados, descobriu uma campanha global de ataques cibernéticos que está espalhando uma nova variante do malware bancário Qbot, cujo principal objetivo é roubar informações financeiras, incluindo credenciais bancárias. Milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo de invasores, segundo mostra a análise da Varonis.
Os ataques estão, atualmente, mirando empresas nos Estados Unidos, no entanto, na medida em que chegam às redes mundiais de computadores, estão se espalhando rapidamente, com vítimas na Europa, na Ásia e na América do Sul.
O Qbot é um tipo já bem conhecido de malware sofisticado usado para roubar credenciais bancárias. A ameaça emprega técnicas de antianálise, frequentemente desviando dos mecanismos de detecção e usando novos vetores de infecção para ficar à frente das soluções de segurança.
Por se tratar de um malware polimórfico, o Qbot está em constante mudança: cria arquivos e pastas com nomes aleatórios, troca frequentemente de servidores de comando e controle e muda de carregador sempre que há uma conexão de internet ativa.
Como funciona o ataque
A variante descoberta pela Varonis mantém as características originais dos primeiros Qbots descobertos em 2009. Uma vez dentro da rede, começa a executar ataques de força bruta contra as contas dos usuários na rede, partindo do grupo de usuários do domínio do Active Directory. A ameaça então começa a rodar keyloggers, aplicativos que registram tudo que é digitado, aplicações que escaneiam e extraem processos do sistema em busca de sequências relacionadas a dados bancários e softwares para roubar credenciais.
O ataque foi detectado inicialmente pelo Varonis DatAlert, plataforma da Varonis equipada com a tecnologia User Behaviour Analytics, que oferece visibilidade de ameaças internas com base no comportamento do usuário, que alertou um dos clientes da Varonis na América do Norte sobre atividades suspeitas na rede, como ações “conta-gotas” e movimentos laterais internos.
Após a identificação, o time de especialistas da Varonis começou a analisar o ataque, revertendo a cepa do Qbot, que permitiu a identificação do servidor ativo de comando e controle usado pelo invasor, bem como a definição da escala do ataque. Com base na observação direta do servidor, a Varonis identificou que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo dos invasores.
Ao analisar a nova variante, os pesquisadores descobriram que o malware chega por meio de um arquivo .zip contendo um arquivo com a extensão “.doc.vbs”. Segundo os especialistas, isso indica que a primeira infecção provavelmente ocorreu por meio de um e-mail de phishing, que levou a vítima a clicar em um arquivo VBS (Visual Basic Script) malicioso.
Enganar o usuário por meio de um arquivo VBS, apesar de ser uma técnica bastante antiga dos hackers, é um dos grandes diferenciais do novo Qbot segundo descobertas da Varonis. Uma vez ativado, o Qbot busca programas de antivírus instalados no sistema e usa uma ferramenta para fazer o download do malware em si, fazendo as alterações necessárias para se diferenciar de Qbots anteriores para que não possam ser identificados pelos antivírus.
Caso não haja conexão com internet, o malware vai copiar a si mesmo em diferentes locais no sistema infectado e, se não puder enviar informações, vai armazená-las e criptografá-las dentro do próprio dispositivo.
Empresas precisam estar atentas ao comportamento do usuário
Ao analisar um dos servidores de comando e controle, o time de pesquisadores da Varonis identificou 40 mil máquinas Windows conectadas, além de encontrar também arquivos de log contendo os IPs das vítimas, detalhes de sistemas em operação e nomes de produtos de antivírus. O servidor revelou também atividades passadas e versões adicionais de malwares. Quase todas as máquinas infectadas estavam rodando o Windows Defender, com base nos resultados do script VP que foram enviados de volta ao servidor.
Mesmo que os ataques tenham origem externa, para o vice-presidente da Varonis para a América Latina, Carlos Rodrigues, a maneira como o novo Qbot infecta os usuários merece atenção, especialmente quando falamos da importância do comportamento do usuário.
“Ataques desse tipo reforçam a importância de estar atento ao comportamento do usuário. Enganar um usuário para que ele clique em links suspeitos e roubar suas credenciais é algo relativamente fácil. Logo, as empresas não podem depender apenas da confiança de que seus colaboradores são capazes distinguir o que é seguro. Especialmente no caso das ameaças mais sofisticadas, mesmo um usuário com alto nível de conhecimento pode ser iludido em um momento de distração”, explica o vice-presidente da Varonis para a América Latina, Carlos Rodrigues.
