🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Este malware sólo necesita 30 minutos para robar tus credenciales y correos

El peligroso malware conocido como Qbot (también conocido como Qakbot o QuakBot) ha regresado recientemente realizando ataques a la velocidad de la luz. Y, según los analistas, sólo necesita alrededor de 30 minutos para robar datos confidenciales después de la infección inicial.

Según un nuevo informe de DFIR, Qbot estaba realizando estos ataques rápidos de robos de datos en octubre de 2021, y ahora parece que los ciberdelincuentes detrás de él han vuelto a tácticas similares.

Más específicamente, los analistas reportan que los atacantes tardan media hora en robar datos del navegador y correos electrónicos de Outlook. Además, solo necesitan 50 minutos antes de saltar a una estación de trabajo adyacente.

La cronología de un ataque

Como se muestra en el siguiente diagrama, Qbot se mueve rápidamente para realizar una escalada de privilegios inmediatamente después de una infección. Esto lo lleva a cabo mientras que se realiza un escaneo de reconocimiento completo en diez minutos.

Cronología de un ataque típico de Qbot

El acceso inicial generalmente se logra a través de un documento de Excel (XLS) que usa un macro para colocar el instalador DLL en la máquina de destino. 

Este payload luego se ejecuta para crear una tarea programada a través del proceso msra.exe y se eleva a los privilegios del sistema.

Además, el malware agrega la DLL de Qbot a la lista de exclusión de Microsoft Defender, por lo que no es detectado cuando ocurre la inyección en msra.exe.

Comandos de detección inyectados en msra.exe

El malware roba correos electrónicos media hora después de la ejecución inicial. Este robo, posteriormente es utilizado para  ataques de phishing en cadena de reproducción  y para venderlos a otros ciberdelincuentes.

Qbot roba las credenciales de Windows de la memoria mediante las inyecciones de LSASS (Servicio de Subsistema de Autoridad de Seguridad Local) y de los navegadores web. Estos se aprovechan para el movimiento lateral a otros dispositivos en la red, iniciado en un promedio de cincuenta minutos después de la primera ejecución.

Movimiento lateral de Qbot

De puntillas en la red

Qbot se mueve lateralmente a todas las estaciones de trabajo en el entorno escaneado copiando un archivo DLL al siguiente objetivo. Además, crea de forma remota un servicio para ejecutarlo. 

Al mismo tiempo, se elimina la infección anterior, por lo que la máquina a la que se le acaban de extraer las credenciales se limpia y parece normal.

Además, los servicios creados en las nuevas estaciones de trabajo tienen el parámetro ‘DeleteFlag‘, que hace que se eliminen al reiniciar el sistema.

Servicios creados en la estación de trabajo de destino

El movimiento lateral ocurre rápidamente, por lo que si no hay una segmentación de la red para proteger las estaciones de trabajo, la situación se vuelve muy desafiante para los equipos de defensa.

Además, a los ciberdelincuentes de Qbot a menudo les gusta usar algunos de los sistemas comprometidos como puntos proxy de primer nivel. Esto para facilitar el enmascaramiento y la rotación de direcciones, y usan múltiples puertos para la comunicación SSL con el servidor C2.

Ransomware

El impacto de  estos rápidos ataques  no se limita a la pérdida de datos, ya que también se ha observado que Qbot despliega payloads de ransomware en redes corporativas comprometidas.

Un informe de Microsoft de diciembre de 2021 capturó la  versatilidad de los ataques de Qbot. Es decir, esto  dificulta evaluar con precisión el alcance de sus infecciones.

Sin embargo, no importa cómo se desarrolle con precisión una infección de Qbot, es fundamental tener en cuenta que casi todos comienzan con un correo electrónico. Por lo tanto, este es el principal punto de acceso que las organizaciones deben fortalecer.

El anuncio de hoy de Microsoft de que bloquearán los macros en los documentos descargados de forma predeterminada  al eliminar los botones “Habilitar contenido” y “Habilitar edición” contribuirá en gran medida a proteger a los usuarios de los ataques de phishing de Qbot.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información