El malware QBot ha sido una amenaza persistente para los dispositivos Windows desde hace algún tiempo, y la nueva campaña de phishing que utiliza Windows Script Files (WSF) hace que sea más fácil que nunca infectar estos dispositivos. La campaña utiliza archivos PDF adjuntos a correos electrónicos en cadena de respuesta y se distribuye en todo el mundo.
Archivo QBot DLL inyectado en el Administrador de errores de Windows, lo que permite que el malware se ejecute de forma sigilosa en segundo plano
Según el relato de Computadora que suena, cuando se abre, el archivo PDF descargará un archivo ZIP que contiene un archivo de secuencia de comandos de Windows (WSF). El archivo WSF está muy ofuscado y su objetivo final es ejecutar un script de PowerShell malicioso.
Tras la ejecución del script de PowerShell, se descarga un archivo DLL QBot sigiloso y se inyecta en el programa Administrador de errores de Windows, lo que permite que el malware se ejecute en segundo plano.
Velocidad de infección: QBot gana terreno inicial en minutos
La velocidad a la que QBot puede infectar dispositivos Windows y trasladarse a estaciones de trabajo adyacentes es alarmante: sólo se necesita alrededor de una hora para que la actividad maliciosa se propague y se roben datos valiosos.
El malware QBot es una amenaza formidable para las empresas, ya que proporciona a los actores de amenazas una forma de establecerse inicialmente en las redes corporativas. En informes recientes, se han distribuido cepas de QBot a través de correos electrónicos de phishing utilizando archivos PDF y archivos de script de Windows (WSF) para infectar dispositivos Windows.
Las posibles consecuencias de hacer clic en un correo electrónico de la cadena de respuesta
Los correos electrónicos con cadena de respuesta se utilizan para que los correos electrónicos de phishing sean menos sospechosos. El PDF adjunto parece inocuo, con un mensaje que dice “Este documento contiene archivos protegidos. Para mostrarlos, haga clic en el botón ‘abrir'”.
Desafortunadamente, esto descargará un archivo ZIP que contiene un archivo WSF ofuscado y, en última instancia, ejecutará un script de PowerShell. A partir de ahí, el malware QBot se descargará y se inyectará en el Administrador de errores de Windows para ejecutarse silenciosamente en segundo plano.
La rápida propagación lateral de la infección por QBot
Esta infección inicial proporciona a los actores de amenazas acceso a otros dispositivos conectados en una red, lo que permite la propagación lateral de cargas útiles maliciosas adicionales y la implantación de ransomware.
La amenaza de ransomware se está volviendo cada vez más peligrosa para las empresas, ya que la ventana de exposición a la propagación lateral es increíblemente corta. El informe DFIR ha demostrado que QBot solo requiere 30 minutos para recopilar datos confidenciales y una hora para difundirlos a otros dispositivos adyacentes.
Por lo tanto, es fundamental que las empresas reconozcan los signos de una infección por QBot y respondan de inmediato para desconectar el dispositivo infectado y detener la propagación lateral de actividad maliciosa.
Evaluación de seguridad tras la detección de malware QBot
Esta respuesta a incidentes requiere el apagado de la computadora infectada y una evaluación de seguridad completa de toda la red para detectar cualquier comportamiento o ataque inusual. Criptolaemus1 compartió los hallazgos del malware en Twitter.
Esto podría incluir escanear en busca de tráfico malicioso entrante y saliente, escanear en busca de software malicioso instalado y examinar cuentas y servicios en busca de signos de actividad sospechosa. Estos pasos son esenciales para prevenir los efectos dañinos del malware, ransomware y otras actividades maliciosas de QBot.
ⓒ 2023 . .
