Investigadores de seguridad de F5 Labs han advertido sobre ataques en curso utilizando una nueva versiĆ³n del troyano bancario Qbot para robar credenciales de clientes de docenas de instituciones financieras estadounidenses.

Qbot (tambiĆ©n conocido como Qakbot, Pinkslipbot y Quakbot) es un troyano bancario, que ha estado activo desde 2008. A lo largo de los aƱos, surgieron muchas variantes de Qbot con capacidades mejoradas, pero el objetivo principal de Qbot sigue siendo el mismo: recopilar actividad de navegaciĆ³n y robar banco credenciales de cuenta y otra informaciĆ³n financiera.

Por lo general, el troyano Qbot se propaga a travĆ©s de correos electrĆ³nicos de phishing que dirigen a los usuarios a sitios web que utilizan exploits para inyectar Qbot a travĆ©s de un gotero. Lo hace a travĆ©s de una combinaciĆ³n de tĆ©cnicas que subvierten las sesiones web de la vĆ­ctima, incluido el registro de teclas, el robo de credenciales, la exfiltraciĆ³n de cookies y el enganche de procesos.

En la reciente campaƱa, los investigadores observaron una nueva versiĆ³n de Qbot dirigida a 36 instituciones financieras estadounidenses (JP Morgan, Citibank, Bank of America, Citizens, Capital One, Wells Fargo, FirstMerit Bank y otros), asĆ­ como a dos bancos en CanadĆ” y PaĆ­ses Bajos.

SegĆŗn F5 Labs, la nueva variante Qbot ha sido equipada con nuevas tĆ©cnicas de detecciĆ³n y evasiĆ³n de investigaciĆ³n.

"Tiene una nueva capa de empaque que codifica y oculta el cĆ³digo de los escĆ”neres y las herramientas basadas en firmas. TambiĆ©n incluye tĆ©cnicas de mĆ”quina anti-virtual, que lo ayudan a resistir el examen forense". los investigadores escribieron.

AsĆ­ es como la nueva infecciĆ³n Qbot generalmente ocurre en una computadora de destino:

1. Qbot se carga en la memoria de explorer.exe en ejecuciĆ³n desde un ejecutable introducido mediante phishing, un dropper de exploit o un recurso compartido de archivos abierto.

2. Qbot se copia en la ubicaciĆ³n predeterminada de la carpeta de la aplicaciĆ³n, como se define en la clave de registro% APPDATA%.

3. Qbot crea una copia de sĆ­ mismo en la clave de registro especĆ­fica

4. HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run para ejecutar cuando el sistema se reinicie.

5. Qbot suelta un archivo .dat con un registro de la informaciĆ³n del sistema y el nombre de la botnet.

6. Qbot ejecuta su copia desde la carpeta% APPDATA% y, para cubrir sus pistas, reemplaza el archivo infectado originalmente por uno legĆ­timo.

7. Por Ćŗltimo, Qbot crea una instancia de explorer.exe y se inyecta en Ć©l. Los atacantes luego usan el proceso de explorer.exe siempre en ejecuciĆ³n para actualizar Qbot desde su servidor externo de comando y control.

“Qbot ha existido durante una docena de aƱos con prĆ”cticamente la misma funcionalidad. Los objetivos cambiaron y se agregaron caracterĆ­sticas, pero todavĆ­a se trata principalmente de keylogging y, en segundo lugar, de extraer los datos personales de la vĆ­ctima. A medida que Qbot aumenta y disminuye en popularidad con los atacantes, es difĆ­cil medir su impacto general a escala global. Sin embargo, todavĆ­a es una amenaza viable para los defensores tener en cuenta ", concluyeron los investigadores.