TOP Malware Series: Qbot Trojan

¿Qué es Qbot?

Qbot (también conocido como Qakbot) es un malware especialmente diseñado para recopilar información bancaria de sus víctimas. Está equipado con una variedad de funciones sofisticadas de evasión y robo de información, así como una funcionalidad similar a la de un malware tipo gusano y un fuerte mecanismo de persistencia.

Las características y funciones que cuenta actualmente Qbot lo vuelve altamente peligroso. Desde su aparición a principios del 2009, Qbot ha sido registrado en múltiples organizaciones y estructuras de tipo gubernamental, infectando de gran medida miles de maquinas, principalmente en los Estados Unidos.

Hoy en día, Qbot esta siendo descargado también por la botnet de EMOTET.

Su método de propagación más común es mediante las campañas masivas de correos spam, que dentro de esos correos electrónicos se adjunta un documento llamando a la acción del usuario en descargarlo y abrirlo. Generalmente siempre serán documentos relacionados a facturas, pedidos o solicitud de algún ámbito en particular.

Una vez el usuario habrá dicho documento, les aparecerá una pantalla llamando a la acción del usuario de dar clic en la opción donde dice «Enable Editing» o «Habilitar edición». Si el usuario le da clic a ese apartado, se ejecutará en segundo plano las instrucciones vía Powershell gracias a un script hecho en macro. Lo cual dará persistencia en el equipo y será reportado a un C2 (Command and Control) para ser luego utilizado con fines de robo de datos o como puente para lanzar un payload de algún ransomware.

Características de Qbot

• Roba información personal y de la organización.
• Genera persistencia dentro del equipo infectado y en la red.
• Inyecto código malicioso en el navegador web.
• Puede propagarse mediante unidades compartidas.
• Los principales objetivos son el sector privado y gubernamental.
• Actualmente se dedica a la propagación de Ransomwares en los equipos infectados, incluido ProLock y más recientemente, Egregor ransomware.
• Puede ir mutando gracias a un Command and Control (C&C) de forma diaria.
• Fuertes mecanismos de evasión Anti-VM.

Distribución de Qbot

Qbot usa múltiples vectores por donde puede infectar a los usuarios del sistema operativo Windows. Tomando como eje principal las campañas de phishing y correos no deseados, además de usar vulnerabilidades para poder ingresar a la maquina de las victimas y empezar su trabajo de recolección de datos.

Una vez ejecutado el inicio de operaciones de la primera carga de Qbot, tendrá una espera promedio de 15 minutos, aproximadamente. Esto es debido para intentar burlar los sistemas de SandBox y Maquinas virtuales dedicadas al análisis de malwares y actividades anómalas.

Flujo de Infección

Objetivos Geográficos de Qbot

Qbot ha estado presente en múltiples países de habla inglesa desde sus inicios de actividad a principios del año 2009. Los países dentro de la lista son Estados Unidos, Canadá, Brasil, Francia, Reino Unido, Alemania, Sudamérica, India, China y Rusia. Siendo el target con más incidentes los Estados Unidos.

Indicadores de Compromiso

Direcciones IP’s:

• 47.153.115.154
• 166.62.180.194
• 82.127.193.151
• 18.203.69.85
• 68.174.15.223
• 72.204.242.138
• 107.191.53.116
• 77.159.149.74
• 184.74.101.234
• 23.82.141.50
• 192.254.234.66
• 24.152.219.253
• 23.235.198.21
• 35.221.162.182
• 76.187.8.160
• 197.210.96.222
• 207.255.161.8
• 24.42.14.241
• 137.99.224.198
• 77.73.67.108

Hashes
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Dominios:

• majul.com
• isns.net
• pumaskill.com
• bagelbath.com
• my.kankuedu.org
• awskohg.wecloudapi.com
• errors.newdatastatsserv.com
• ffoeefsheuesihfo.ru
• secure.jsc0nten1maker.com
• server.ncha.uk
• somesub.louisianaquickdivorce.com
• dmad.info
• riifndisojdoj.in
• cdn.ssstatic.net
• ipruoamdmsngktvvhxluztsm.info
• futureinterest.org
• qwerty.tastywieners.com
• dendy.oshkoshrugby.org
• type.tastywieners.com
• old.oshkoshrugby.com

Recomendaciones de seguridad

• Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
• Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
• No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
• No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
• Manténgase informado de las últimas amenazas y riesgos en Internet.
• Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
• Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados

• https://www.varonis.com/blog/varonis-discovers-global-cyber-campaign-qbot/
• https://www.mcafee.com/enterprise/es-es/threat-center/threat-landscape-dashboard/campaigns-details.operation-qbot-targets-financial-institutions.html
• https://any.run/malware-trends/qbot
• https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot
• https://www.binarydefense.com/qakbot-upgrades-to-stealthier-persistence-method/

Camilo Mix

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.