El programari maliciós QBot es distribueix en diverses campanyes de phishing que utilitzen arxius en format PDF i arxius de seqüències d’ordres de Windows (WSF) per tal d’infectar dispositius que fan servir aquest programari concretament.

Qbot (ara també conegut com QakBot) és un antic troià que es feia servir en atacs bancaris i que va evolucionar fins a convertir-se en un malware capaç de proporcionar accés inicial a xarxes corporatives per altres actors d’amenaces. Aquest accés inicial es realitza deixant anar càrregues útils addicionals, com per exemple Cobalt Strike, Brute Ratel o altres programes maliciosos que permeten a altres actors accedir al dispositiu infectat.

Utilitzant aquest accés, els actors de l’amenaça s’estenen lateralment a través d’una xarxa, prenent en el seu camí diverses dades per, finalment, desplegar ransomware en atacs d’extorsió.

A partir d’aquest mes, l’entitat investigadora de seguretat ProxyLife i el grup Cryptolaemus han estat descrivint l’ús que fa Qbot en un nou mètode de distribució mitjançant correu electrònic. En aquests, s’hi troben arxius PDF adjunts que descarreguen Windows Script Files per instal·lar Qbot als dispositius de les víctimes.

Tot comença amb un correu electrònic:

QBot es distribueix actualment a través de correus electrònics de phishing de cadena de resposta. En aquests, els actors d’amenaces utilitzen intercanvis de correus electrònics robats i després responen a ells amb enllaços a malware o arxius adjunts maliciosos.

L’ús de correus electrònics de cadena de resposta és un intent de fer que un correu electrònic de phishing sigui menys sospitós, ja que és una resposta a una conversa en curs.

Els correus electrònics de phishing utilitzen diversos idiomes, la qual cosa indica que es tracta d’una campanya de distribució de programari maliciós a escala mundial.

Adjunt a aquests correus, tal com havíem esmentat, hi ha un arxiu PDF anomenat ‘CancelationLetter-[number].pdf ,’ que, en obrir-se, mostra un missatge que diu: Aquest document conté arxius protegits, per mostrar-los, faci clic en el botó “obrir”.

No obstant això, en fer clic al botó, es descarrega en el seu lloc un arxiu ZIP que conté un arxiu Windows Script (wsf).

Un arxiu Windows Script acaba amb una extensió .wsf i pot contenir una mescla de codi JScript i VBScript que s’executa quan es fa doble clic en l’arxiu.

L’arxiu WSF utilitzat en la campanya de distribució del malware QBot està molt ofuscat, amb l’objectiu final d’executar un script PowerShell a l’ordinador.

El script PowerShell que executa l’arxiu WSF intenta descarregar una DLL d’una llista d’URL. Es prova cada URL fins que l’arxiu pot descarregar-se amb èxit a la carpeta «%TEMP%» i s’executa.

Quan s’executa la DLL QBot, interpreta l’ordre PING per determinar si hi ha connexió a Internet. A continuació, el malware s’injecta al programa legítim de Windows wermgr.exe (Windows Error Manager), on s’implementarà silenciosament en segon pla.

Les infeccions de programari maliciós QBot poden provocar atacs devastadors a les xarxes corporatives, per la qual cosa és vital comprendre com es distribueix el programari maliciós en qüestió.

Afiliats de ransomware vinculats a múltiples operacions de servei (RaaS), com per exemple BlackBasta, REvil, PwndLocker, Egregor, ProLock i MegaCortex, han utilitzat Qbot per l’accés inicial a xarxes corporatives.

Els investigadors de The DFIR Report han demostrat que QBot només triga uns 30 minuts a prendre dades confidencials després de la infecció inicial. Pitjor és encara, l’activitat maliciosa només triga una hora a propagar-se a estacions de treball adjacents.

Per tant, si un dispositiu s’infecta amb QBot, és fonamental desconnectar el sistema al més aviat possible i realitzar una avaluació completa de la xarxa a la recerca de comportaments inusuals.