Por meio desse cavalo de Troia de nome Qbot, os cibercriminosos visam enganar as vítimas para obter dados corporativos e pessoais
Os pesquisadores da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, detectaram uma evolução do malware Qbot, e numa forma mais perigosa, que passou a sequestrar o histórico de conversas (threads) de e-mails legítimos para roubar credenciais bancárias e cartões de crédito, a instalação de ransomware para executar transações bancárias não autorizadas.
Identificado pela primeira vez em 2008, o Qbot (também conhecido como Qakbot ou Pinkslipbot) coleta dados de navegação e informações financeiras, incluindo detalhes de bancos online. Atualmente, são mais de 100 mil vítimas desta ciberameaça estimadas no mundo, tornando-se o malware mais difundido no momento.
O Qbot coleta e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas vítimas sequestrando conversas de e-mail legítimos.
Os pesquisadores da Check Point encontraram várias campanhas usando a nova família do Qbot entre março e agosto de 2020. Em uma das campanhas, o Qbot estava sendo distribuído pelo trojan Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede.
Isso levou os pesquisadores da Check Point a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle renovada. Esta campanha envolvendo distribuição pelo Emotet impactou 5% das organizações globalmente em julho de 2020.
Nova linhagem, novos recursos
A última versão do Qbot evoluiu para se tornar altamente estruturada e em múltiplas camadas, estendendo suas capacidades como se fosse um “canivete suíço” que, de acordo com os pesquisadores, é capaz de:
• Roubar informações de máquinas infectadas, incluindo senhas, e-mails, detalhes de cartão de crédito e muito mais.
• Instalar ransomware: instalar outro malware em máquinas infectadas, incluindo ransomware.
•Permitir transações bancárias não autorizadas: faz com que o controlador do Bot se conecte ao computador da vítima (mesmo quando ela já está conectada) para fazer transações bancárias a partir do seu endereço IP.
Sequestro do histórico de conversas de e-mails
A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, o qual possui um código que pode ser executado no Windows.
Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado.
Esses e-mails roubados são, então, utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo.
Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à COVID-19, lembretes de pagamento de impostos e recrutamento de empregos.
“Nossa pesquisa mostra como até mesmo formas mais antigas de malwares podem ser atualizadas com novos recursos para torná-los uma ameaça perigosa e persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos.”
“Vimos campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a do Emotet, para espalhar ainda mais a ameaça”, explica Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software Technologies.
“Nossa expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing, mesmo quando o e-mail parecer vir de uma fonte confiável”, alerta Balmas.
A seguir, os pesquisadores da Check Point orientam sobre esses sinais de ciberameaças e recomendam como as organizações e os indivíduos podem se proteger contra esses tipos de ataques de phishing:
• Integrar uma solução de segurança de e-mail: Este é, de longe, o principal vetor para atacantes se infiltrarem em redes e PCs e roubarem dados – mais de 80% dos ataques que visam organizações têm início em um e-mail malicioso. Os e-mails de phishing que estimulam os usuários a expor as credenciais de suas organizações ou a clicar em um link / arquivo malicioso são a ameaça número um no espaço de e-mail. As organizações devem sempre implementar uma solução de segurança de e-mail, projetada para prevenir tais ataques automaticamente utilizando mecanismos de segurança continuamente atualizados e, assim, ter uma proteção otimizada contra os múltiplos vetores: phishing, malware, roubo de dados e o sequestro de contas.
• Desconfiar de e-mails que contenham anexos desconhecidos ou solicitações incomuns, mesmo que pareçam vir de fontes confiáveis. É sempre melhor verificar se o e-mail é legítimo antes de clicar em um link ou anexo.
• Adicionar verificação: Ao lidar com transferências bancárias, deve-se sempre se certificar de efetuar uma segunda verificação contatando a pessoa que solicitou a transferência ou ligando para a parte receptora.
• Notificar os parceiros de negócios. Se uma violação de e-mail foi detectada em sua organização, certifique-se também de notificar todos os seus parceiros de negócios, pois qualquer atraso na notificação beneficiará o atacante.
Alvos do Qbot
Os Estados Unidos têm sido o alvo número um dos ataques do Qbot, representando 29% de todos os ataques detectados, seguidos por Índia, Israel e Itália, cada um representando 7% de todos os ataques, respectivamente.
Os ataques visam organizações e indivíduos, principalmente dos setores militar, governo e indústria, com o objetivo de colher o máximo possível de dados confidenciais.
Hoje, o Qbot é muito mais perigoso do que era antes, pois tem uma campanha ativa de malspam que infecta as organizações e consegue usar uma infraestrutura de infecção de “terceiros” como a do Emotet para distribuir ainda mais a ameaça.
Parece que o grupo de ameaças por trás do Qbot está evoluindo suas técnicas ao longo dos anos, e os pesquisadores da Check Point esperam contribuir com outros pesquisadores ao redor do mundo para mitigar e potencialmente interromper a atividade do Qbot.
Detalhes sobre a cadeia de infecção do Qbot e análise completa dos pesquisadores sobre os recursos e ataques mais recentes deste malware podem ser consultados no site.
Ataques cibernéticos: como funciona e como se proteger?
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (http://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
Indústria 4.0 depende da convergência entre OT e TI para avançar no Brasil