Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Qakbot sube de nivel con nuevas técnicas de ofuscación

  • Publicado: 03/05/2019
  • Importancia: Alta

Recursos afectados

Qakbot es un troyano bancario descubierto en 2008 que se propagaba a través de recursos compartidos en red o discos extraíbles, tenía la capacidad de descargar malware adicional, robar información y abrir un puerta trasera en el dispositivo, el malware tiene la capacidad de ocultar su presencia como un rootkit, su objetivo principal es el robo de información, con el pasar del tiempo ha utilizado un mecanismo de persistencia actualizado que puede dificultar la detección y eliminación de un dispositivo infectado. A demás de sus capacidades, su método de infección.
Según Talos los dispositivos en el año 2019 suelen infectarse por medio de dropper (programa, cuya función es descargar y/o ejecutar otro archivo), una vez infectado el dispositivo el malware crea una tarea programada, la cual ejecutará un Código JavaScript, que tiene como funcionalidad conectarse con dominios secuestrados.
El malware controla una red de bots masiva compuesta por más de 500.000 dispositivos infectados que roban más de medio millón de registros al día. Qakbot es capaz de recopilar una serie de información confidencial:
Nombres de tarjetas de crédito
Números de la seguridad social
Credenciales de banca online
Cookies de autenticación, incluidas las cookies flash
DNS, IP, detalles del nombre de host
Información del sistema operativo y del sistema
Información geográfica y de la versión del navegador.
Pulsaciones de teclado incluyendo información de inicio de sesión
Detalles de inicio de sesión para FTP, IRC, correo electrónico POP3 y correo electrónico IMAP
Información de la cuenta de Outlook
Claves privadas de certificados del sistema
Credenciales de inicio de sesión para ciertos sitios web
URL visitadas

Captura.PNG
Ha habido un cambio en la cadena de infección de Qakbot que dificulta la detección del software antivirus tradicional. Esto puede permitir que la descarga del malware no sea detectada, ya que el malware se ofusca cuando se descarga y se guarda en dos archivos separados. Estos archivos son descifrados y reensamblados usando el comando type. La detección que se centra en ver la transferencia completa del ejecutable malicioso probablemente se perdería esta versión actualizada de Qakbot. Debido a esta actualización de los mecanismos de persistencia, la transferencia del binario malicioso de Qakbot será ofuscada hasta el punto de que algunos productos de seguridad podrían pasar desapercibidos.

Etiquetas