Kaspersky advierte de una nueva ola de emails maliciosos que propagan el malware Qbot 

España se sitúa en el octavo puesto de países más afectados

Kaspersky ha detectado una nueva ola de actividad con más de 1.500 usuarios afectados. Los 10 países con más casos son Estados Unidos, Italia, Alemania, India, Canadá, Emiratos Árabes Unidos, Egipto, España y Francia.

Qbot es un conocido troyano financiero, capaz de robar los datos y los correos electrónicos de los usuarios de las redes corporativas infectadas, propagarse por la red e instalar ransomware u otros troyanos en otros dispositivos de la red. Los ciberdelincuentes aparentemente interceptan las conversaciones de correo electrónico activas sobre asuntos de negocios y envían a los destinatarios un mensaje que contiene un enlace con un archivo, con una contraseña para descargar y así infectar sus dispositivos con un troyano bancario. Para convencer a los usuarios de que abran o descarguen el archivo, los ciberatacantes suelen informar de que contiene alguna información importante, como una oferta comercial. Este esquema hace que estos mensajes sean más difíciles de detectar y aumenta las posibilidades de que el destinatario caiga en el truco. Hasta ahora hemos detectado más de 400 sitios infectados que propagan Qbot.

QakBot, también conocido como QBot, QuackBot y Pinkslipbot, es un troyano bancario vigente desde hace más de una década. Fue descubierto circulando en Internet en 2007 y desde entonces sus autores no han cesado de mantenerlo y desarrollarlo.

En los últimos años, QakBot se ha convertido en uno de los principales troyanos bancarios del mundo. Su objetivo principal es robar credenciales bancarias, como inicios de sesión, contraseñas, etc. Pero QakBot no se ha limitado a estas funciones, sino que ha adquirido otras para espiar las actividades bancarias de las organizaciones, propagarse e instalar ransomware con el fin de exprimir al máximo a las organizaciones comprometidas.

Hasta el día de hoy, QakBot sigue creciendo en términos de funcionalidad, incrementando sus capacidades y técnicas, como el registro de pulsaciones de teclas, la función de puerta trasera y técnicas para evadir la detección. Entre estas últimas, cabe destacar la detección de entornos virtuales, las auto-actualizaciones periódicas y los cambios de cifrado y empaquetamiento. Además, QakBot intenta protegerse para que ni expertos, ni herramientas automatizadas puedan analizarlo.

Otra funcionalidad interesante es la de robar correos electrónicos, que luego son utilizados por los atacantes para enviar correos electrónicos selectivos a las víctimas, a quienes inducen a abrirlos utilizando como cebo la información obtenida anteriormente.

Imitar la correspondencia laboral es un truco común empleado por los ciberdelincuentes, sin embargo, esta campaña es más complicada ya que los atacantes interceptan una conversación existente y esencialmente se insertan en ella. Este método hace que estos mensajes sean mucho más difíciles de detectar, y aumenta las posibilidades de que el destinatario abra los archivos. Por lo tanto, los empleados deben tener especial cuidado ahora en sus emails de trabajo para no abrir accidentalmente un archivo malicioso con Qbot.

Cadena de infección de QakBot

QakBot es conocido por infectar a sus víctimas sobre todo mediante campañas de spam. En algunos casos, dichos correos electrónicos llegan junto con documentos de Microsoft Office (Word, Excel) o archivos protegidos por contraseña con dichos documentos adjuntos. Estos documentos contienen macros y afirman contener información importante, como una factura, para inducir a las víctimas a que los abran. En otros casos, los correos electrónicos contienen enlaces a páginas web maliciosas en lugar de archivos adjuntos.

Para mantenerse a salvo de los ataques de Qbot, recomendamos seguir los siguientes consejos:

  • Instalar una solución de seguridad fiable a nivel de gateway de correo: filtrará automáticamente el spam y los mensajes maliciosos antes de que los usuarios tengan la oportunidad de cometer un error.
  • Proporcionar al personal una formación básica en materia de ciberseguridad: esto puede enseñarles a detectar el comportamiento de los ciberdelincuentes (por ejemplo, saber que la contraseña en el mismo correo electrónico con el archivo cifrado sólo puede servir para un propósito: engañar a las tecnologías antimalware).
  • Llevar a cabo ataques simulados para asegurarse de que sus empleados saben distinguir los mensajes de correo electrónico de phishing y maliciosos de los auténticos.
  • Utilizar una solución de seguridad en cada endpoint que esté conectado a Internet. En este caso, si su personal es víctima de un ataque, puede impedir que se abra un archivo o que funcione un enlace malicioso.

. Leer artículo completo en Frikipandi Kaspersky advierte de una nueva ola de emails maliciosos que propagan el malware Qbot.
Fuente info
Autor: