QBot expande estratégia de malware de acesso inicial com combinação PDF-WSF

Views: 196
0 0
Read Time:4 Minute, 6 Second

Um recente aumento nos ataques de Trojan QBot foi observado, espalhando-se através de e-mails maliciosos escritos em vários idiomas, incluindo inglês, alemão, italiano e francês. Os e-mails são criados usando cartas comerciais genuínas obtidas pelos invasores e pedem que o destinatário abra um arquivo PDF anexado, que contém várias camadas de ofuscação que tornam sua malícia menos detectável pelas ferramentas de segurança.

De acordo com uma análise da Kaspersky nesta semana, a campanha também usa o método de usar e-mails em cadeia de respostas para tornar mais difícil para as vítimas em breve sinalizarem como mal-intencionadas. Como o nome sugere, a cadeia de respostas é a prática de acessar as trocas de e-mail existentes a partir de um listserv (ou de qualquer local) e responder a elas, fazendo com que as mensagens entrelaçadas pareçam legítimas, menos suspeitas e críveis.

A campanha representa uma mudança de tática para os operadores do QBot (também conhecido como QakBot ou Pinkslipbot), que mantêm uma oferta de acesso como serviço que outros cibercriminosos usam para entregar uma variedade de malware de segundo estágio a alvos já comprometidos. Inicialmente descoberto em 2007, o QBot passou por inúmeras modificações e aprimoramentos ao longo dos anos, resultando em sua ampla distribuição como uma das cepas de malware mais ativamente propagadas em 2020.

Essas últimas melhorias ajudam a aumentar a furtividade e a legitimidade, de acordo com pesquisadores de segurança. Por exemplo, os e-mails são criados para alterar apenas partes mínimas dos documentos roubados; eles podem conter links ou anexos que contêm links para sites maliciosos.

“As mensagens foram baseadas em cartas comerciais reais às quais os invasores tiveram acesso, o que lhes proporcionou a oportunidade de se juntar ao segmento de correspondência com mensagens próprias”, observou o relatório da Kaspersky.

As Muitas Camadas de Ofuscação do QBot

Quanto ao fluxo de ataque, o arquivo PDF contém um arquivo de script do Windows (WSF) que abriga um script do PowerShell ofuscado codificado em uma linha Base64. Uma vez que o script do PowerShell é executado secretamente no computador, ele utiliza o utilitário wget para recuperar um arquivo DLL de um servidor remoto, que é usado para entregar o malware QBot ao computador da vítima. Esta é uma tática existente: no ano passado, os operadores do QBot começaram a usar o sideload de DLL para entregar malware, uma técnica que coloca arquivos legítimos e maliciosos juntos em um diretório comum para evitar a detecção.

O grupo recentemente aumentou suas operações e melhorou suas ofertas, infectando sistemas, instalando estruturas de ataque e vendendo acesso a outros grupos, incluindo o Black Basta.

“O FSM é ofuscado para evitar a detecção, o que baixará mais cargas úteis”, explica Timothy Morris, conselheiro-chefe de segurança da Tanium. “O ataque ‘encadeamento’, ou o uso de várias etapas, ajuda a superar algumas proteções, uma vez que o contexto completo do comportamento nefasto não pode ser observado como uma única atividade.”

Como proteger o negócio de ataques QBot

Morris observa que as múltiplas fases no fluxo de ataque, desde os e-mails iniciais até as cargas úteis baixadas e a exfiltração e roubo de dados, exigem uma série de estratégias de segurança cibernética contra as quais se defender.

“É importante ter uma estratégia de defesa profunda que inclua tecnologias de detecção, monitoramento e proteção no endpoint, bem como segurança da Web, rede e e-mail atualizada”, diz ele. “Além disso, treinar os usuários para esses tipos de ameaças é importante.”

Darren Guccione, CEO e co-fundador da Keeper Security, diz que os alvos em potencial também devem ser treinados para reconhecer que, ao contrário das tentativas de phishing que parecem vir de empresas aleatórias ou do governo, o arquivo malicioso contendo malware parecerá vir de alguém com quem você teve conversas de e-mail anteriores.

“Os agentes de ameaças esperam pegar carona em seu relacionamento e nível de confiança para fazer com que esses contatos baixem os arquivos”, explica ele. “Os funcionários devem evitar fazer cliques arriscados. Links suspeitos não devem ser clicados e software não confiável não deve ser instalado.”

Outras práticas recomendadas de segurança de email incluem verificar o remetente e o conteúdo do email antes de baixar anexos e passar o mouse sobre os links incorporados para ver a URL de destino real. Além disso, os defensores também devem se concentrar em garantir que as soluções antivírus e antimalware sejam implantadas e atualizadas, e proteger os endpoints, incluindo PCs, servidores, roteadores e assim por diante, mantendo-os corrigidos.

Guccione diz que o mais recente ressurgimento do QBot, juntamente com novos módulos e técnicas de evasão sendo adicionadas, indica o desenvolvimento ativo do malware, por isso as empresas devem estar vigilantes quando se trata de estar preparadas para as últimas mudanças.

“Ainda é uma ferramenta adversária muito capaz contra a qual os defensores precisam se proteger”, explica Guccione.

FONTE: DARK READING

POSTS RELACIONADOS