Ransomware ProLock y troyano Qakbot en trabajo colaborativo
- Publicado: 29/05/2020
- Importancia: Media
- Recursos afectados
El ransomware ProLock surgió en el mes de marzo del año en curso y es el sucesor del malware PwndLocker, su primer ataque se dirigió al proveedor de cajeros automáticos ATM Diebold Nixdorf, a finales del mes de abril de 2020. Se focaliza en atacar sectores como: financiero, salud, gubernamental y minorista.
Qakbot es un troyano capaz de capturar todo lo que un usuario está haciendo en tiempo real, su método de distribución se basa en correos electrónicos de phishing con documentos adjuntos de Microsoft Office, los cuales cuentan con macros maliciosas embebidas o URLs que redireccionan a la descarga de estos. Al habilitar la macro se desencadena la ejecución de una serie de comando a través de PowerShell para descargar y ejecutar la carga útil Qakbot desde el servidor de Comando y control (C2).
Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected]
- Etiquetas