Por meio desse cavalo de Troia, os
cibercriminosos visam enganar as vítimas para obter dados corporativos e
pessoais, indicando nos e-mails fraudulentos assuntos de interesse como
COVID-19, lembretes de pagamento de impostos e recrutamento de empregos
Os
pesquisadores da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de
cibersegurança global, detectaram uma evolução do malware Qbot, e numa forma
mais perigosa, que passou a sequestrar o histórico de conversas (threads)
de e-mails legítimos para roubar credenciais bancárias e cartões de crédito, a
instalação de ransomware e para executar transações bancárias não autorizadas,
cujo os alvos são organizações e indivíduos.
Identificado
pela primeira vez em 2008, o Qbot (também conhecido como Qakbot ou Pinkslipbot)
coleta dados de navegação e informações financeiras, incluindo detalhes de
bancos online. Atualmente, são mais de 100 mil vítimas desta ciberameaça
estimadas no mundo, tornando-se o malware mais difundido no momento. O Qbot coleta
e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas
vítimas sequestrando conversas de e-mail legítimos.
Os
pesquisadores da Check Point encontraram várias campanhas usando a nova família
do Qbot entre março e agosto de 2020. Em uma das campanhas, o Qbot estava sendo
distribuído pelo trojan Emotet, um cavalo de Troia bancário que pode roubar
dados espionando o tráfego da rede. Isso levou os pesquisadores da Check Point
a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem
como uma infraestrutura de comando e controle renovada. Esta campanha
envolvendo distribuição pelo Emotet impactou 5% das organizações globalmente em
julho de 2020.
Nova
linhagem, novos recursos
A
última versão do Qbot evoluiu para se tornar altamente estruturada e em
múltiplas camadas, estendendo suas capacidades como se fosse um "canivete
suíço" que, de acordo com os pesquisadores, é capaz de:
•
Roubar informações de máquinas infectadas, incluindo senhas,
e-mails, detalhes de cartão de crédito e muito mais.
•
Instalar ransomware: instalar outro malware em máquinas infectadas,
incluindo ransomware.
•Permitir
transações bancárias não autorizadas: faz com que o controlador do Bot se
conecte ao computador da vítima (mesmo quando ela já está conectada) para fazer
transações bancárias a partir do seu endereço IP.
Sequestro
do histórico de conversas de e-mails
A
cadeia de infecção do Qbot começa com o envio de e-mails especialmente
elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos
e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS)
malicioso, o qual possui um código que pode ser executado no Windows.
Depois
que uma máquina é infectada, o Qbot ativa um "módulo coletor de
e-mail" especial que extrai todos os históricos de conversas de e-mail do
cliente Outlook da vítima e os carrega para um servidor remoto codificado.
Esses e-mails roubados são, então, utilizados para futuras campanhas de
malspam, tornando mais fácil para os usuários serem enganados e clicarem em
anexos infectados, porque o e-mail de spam parece continuar uma conversa
existente de um e-mail legítimo. Os pesquisadores da Check Point viram exemplos
de threads de e-mail direcionados e sequestrados com assuntos relacionados
à COVID-19, lembretes de pagamento de impostos e recrutamento de empregos.
"Nossa
pesquisa mostra como até mesmo formas mais antigas de malwares podem ser
atualizadas com novos recursos para torná-los uma ameaça perigosa e
persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu
desenvolvimento para permitir o roubo de dados em grande escala de organizações
e indivíduos. Vimos campanhas ativas de malspam distribuindo o Qbot
diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a
do Emotet, para espalhar ainda mais a ameaça", explica Yaniv Balmas, chefe
de pesquisa cibernética da Check Point Software Technologies. "Nossa
expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar
com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem
mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de
phishing, mesmo quando o e-mail parecer vir de uma fonte confiável",
alerta Balmas.
A
seguir, os pesquisadores da Check Point orientam sobre esses sinais de
ciberameaças e recomendam como as organizações e os indivíduos podem se
proteger contra esses tipos de ataques de phishing:
•
Integrar uma solução de segurança de e-mail: O e-mail é, de longe, o principal vetor
para atacantes se infiltrarem em redes e PCs e roubarem dados - mais de 80% dos ataques que visam organizações têm início em um e-mail
malicioso. Os e-mails de phishing que estimulam os usuários a expor as
credenciais de suas organizações ou a clicar em um link / arquivo malicioso são
a ameaça número um no espaço de e-mail. As organizações devem sempre
implementar uma solução de segurança de e-mail, projetada para prevenir tais
ataques automaticamente utilizando mecanismos de segurança continuamente
atualizados e, assim, ter uma proteção otimizada contra os múltiplos vetores:
phishing, malware, roubo de dados e o sequestro de contas.
•
Desconfiar de e-mails que contenham anexos desconhecidos ou
solicitações incomuns, mesmo que pareçam vir de fontes confiáveis. É sempre
melhor verificar se o e-mail é legítimo antes de clicar em um link ou anexo.
•
Adicionar verificação: Ao lidar com transferências bancárias, deve-se
sempre se certificar de efetuar uma segunda verificação contatando a pessoa que
solicitou a transferência ou ligando para a parte receptora.
•
Notificar os parceiros de negócios. Se uma violação de e-mail foi detectada em sua
organização, certifique-se também de notificar todos os seus parceiros de
negócios, pois qualquer atraso na notificação beneficiará o atacante.
Alvos
do Qbot
Os
Estados Unidos têm sido o alvo número um dos ataques do Qbot, representando 29%
de todos os ataques detectados, seguidos por Índia, Israel e Itália, cada um
representando 7% de todos os ataques, respectivamente. Os ataques visam
organizações e indivíduos, principalmente dos setores militar, governo e indústria,
com o objetivo de colher o máximo possível de dados confidenciais.
Organizações
atacadas por país
Hoje,
o Qbot é muito mais perigoso do que era antes, pois tem uma campanha ativa de
malspam que infecta as organizações e consegue usar uma infraestrutura de
infecção de "terceiros" como a do Emotet para distribuir ainda mais a
ameaça. Parece que o grupo de ameaças por trás do Qbot está evoluindo suas
técnicas ao longo dos anos, e os pesquisadores da Check Point esperam
contribuir com outros pesquisadores ao redor do mundo para mitigar e
potencialmente interromper a atividade do Qbot.
Detalhes sobre a
cadeia de infecção do Qbot e análise completa dos pesquisadores sobre os
recursos e ataques mais recentes deste malware podem ser consultados em:
https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/
Check Point Software Technologies Ltd.
https://www.checkpoint.com/pt/
https://research.checkpoint.com/
https://twitter.com/_cpresearch_
https://blog.checkpoint.com/
https://www.twitter.com/checkpointsw
https://www.facebook.com/checkpointsoftware
https://www.youtube.com/user/CPGlobal
https://www.linkedin.com/company/check-point-software-technologies
Nenhum comentário:
Postar um comentário