TOP Malware Series: Qbot Trojan


¿Qué es Qbot?


Qbot (también conocido como Qakbot) es un malware especialmente diseñado para recopilar información bancaria de sus víctimas. Está equipado con una variedad de funciones sofisticadas de evasión y robo de información, así como una funcionalidad similar a la de un malware tipo gusano y un fuerte mecanismo de persistencia.


Las características y funciones que cuenta actualmente Qbot lo vuelve altamente peligroso. Desde su aparición a principios del 2009, Qbot ha sido registrado en múltiples organizaciones y estructuras de tipo gubernamental, infectando de gran medida miles de maquinas, principalmente en los Estados Unidos.


Hoy en día, Qbot esta siendo descargado también por la botnet de EMOTET.



Características de Qbot

  • Roba información personal y de la organización.

  • Genera persistencia dentro del equipo infectado y en la red.

  • Inyecto código malicioso en el navegador web.

  • Puede propagarse mediante unidades compartidas.

  • Los principales objetivos son el sector privado y gubernamental.

  • Puede ir mutando gracias a un Command and Control (C&C) de forma diaria.

  • Fuertes mecanismos de evasión Anti-VM.


Distribución de Qbot


Qbot usa múltiples vectores por donde puede infectar a los usuarios del sistema operativo Windows. Tomando como eje principal las campañas de phishing y correos no deseados, además de usar vulnerabilidades para poder ingresar a la maquina de las victimas y empezar su trabajo de recolección de datos.


Una vez ejecutado el inicio de operaciones de la primera carga de Qbot, tendrá una espera promedio de 15 minutos, aproximadamente. Esto es debido para intentar burlar los sistemas de SandBox y Maquinas virtuales dedicadas al análisis de malwares y actividades anómalas.


Flujo de Infección


Objetivos Geográficos de Qbot


Qbot ha estado presente en múltiples países de habla inglesa desde sus inicios de actividad a principios del año 2009. Los países dentro de la lista son Estados Unidos, Canadá, Brasil, Francia, Reino Unido, Alemania, Sudamérica, India, China y Rusia. Siendo el target con más incidentes los Estados Unidos.




Indicadores de Compromiso


Direcciones IP's:

47.153.115.154

166.62.180.194

82.127.193.151

18.203.69.85

68.174.15.223

72.204.242.138

107.191.53.116

77.159.149.74

184.74.101.234

23.82.141.50

192.254.234.66

24.152.219.253

23.235.198.21

35.221.162.182

76.187.8.160

197.210.96.222

207.255.161.8

24.42.14.241

137.99.224.198

77.73.67.108


Hashes


982AE2537F54058CAE27C0D5F15352044DE8BA3CEEC2810FF0E52E93BF608756

2F5975932DCA6C0E53AEF035AF715E1CB8E1DADA578CCC381A5CE712EFE66481

CEDBCC216B1EA427FB4BA3A1E1EA41416944997FF06A734DD313194970870F74

4B9652275B2F31FB590B612A3FACDA8F75BD234190C6380F551B5B4A6A8144E5

F333785221289CE110D8CF6DDEBB6560C2667FB5E4E42E7AD6DB6C2172FE4BD4

C606A2583D253803B9113BB4ED7783EEA57DEB1C6556AE6A6DC02E16A6941C68

0636479F9F0AE8AD2C4288DA3AAD038BC69977674A18AFBD52D43CC7B9931F74

DCB4EC210EBC2527233EC07ED41B4493822AF388A642BD333595AFCFE5A8F645

0D79DEF52ADEC958FB6F34C3A2629F97CF04A9EB7B755BED2C6835D0C8D1BE6E

268C428F9877E1C1F8870ED7CFD0576196136D85A76A602DB8D3750494CDEF22

AFA586031135A371D99AC037B3A873C35377F83C0389A5A3CB6950DEC31E11D3

C3628783ECE3628F7A14B6843072BCC2CA4828A527CBCA2FCB95266D8C70DCE6

1042F400ED776BC5D2C68BECB386FB2EF3116417F96A67C14E8CA5B421AE7BC9

AC688EA06A97C456B0113AD4B42A9912F5639CF126016F041DBAF60E9C04CB24

BDAE935D644CCC36799F2158A23EBCF5F5DDC29E7D5C1EB6C9FE4FF21CA60958

0219901955B88E79094D65F1447F49FE99CE8C7F1ECAD20056B31EB78DE33B70

CA31036373767F36878266B723B684328FBF272B7FAB49BC2500DA4BFF699986

CF111660AE9D6E71954AD088622DC3815A0F2D0267ECA93B45B0009BD54F3788

892AEAA42A74E3562071B0E64C152BFF825279C043D5DC392E6B786BE9474D4C

3EB83BAA9AE19DC7D3C0F0B43CA0CDCF8F0271B8D78BDD4BA772F9B6AB35BE8E


Dominios:


majul.com

isns.net

pumaskill.com

bagelbath.com

my.kankuedu.org

awskohg.wecloudapi.com

errors.newdatastatsserv.com

ffoeefsheuesihfo.ru

secure.jsc0nten1maker.com

server.ncha.uk

somesub.louisianaquickdivorce.com

dmad.info

riifndisojdoj.in

cdn.ssstatic.net

ipruoamdmsngktvvhxluztsm.info

futureinterest.org

qwerty.tastywieners.com

dendy.oshkoshrugby.org

type.tastywieners.com

old.oshkoshrugby.com

Recomendaciones de seguridad


  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).


Artículos relacionados


CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social