Cuidado, tu dinero está en peligro: vuelve el troyano bancario más temido

El malware Qbot que roba tu información financiera vuelve. Una nueva cepa de este troyano bancario ha sido descubierta recientemente y se vale de correos electrónicos secuestrados para engañar a las víctimas desprevenidas para que instalen el malware, revelan nuevos hallazgos de Kaspersky.

A principios de abril, Kaspersky detectó un aumento significativo de ataques que utilizan troyanos bancarios de la familia QBot (también conocidos como QakBot, QuackBot y Pinkslipbot).

Correos electrónicos infectados por troyano bancario

El malware se entrega a través de correos electrónico escritos en diferentes idiomas. Los mensajes se basaban en cartas comerciales reales a las que los atacantes habían tenido acceso, lo que les brindaba la oportunidad de unirse al hilo de correspondencia con sus propios mensajes.

Como regla general, dichas cartas instan al destinatario, con un pretexto plausible, a abrir un archivo PDF adjunto. Por ejemplo, podrían pedir que proporcionen toda la documentación relacionada con la solicitud adjunta o que calculen el valor de una amortización de intereses adjunta.

Como podéis intuir, dicho archivo adjunto está infectado ya que contiene un archivo .wsf (Windows Script File) que contiene un script ofuscado escrito en JScript. Tan pronto como el usuario abra el archivo WSF del archivo, el script de PowerShell se ejecutará discretamente en el dispositivo y usará wget para descargar un archivo DLL desde un servidor remoto.

Repunte de infecciones en el mes de abril

Según datos de la firma de seguridad, las primeras cartas con archivos adjuntos en PDF maliciosos comenzaron a llegar en la noche del 4 de abril. La campaña masiva de correo electrónico comenzó el día siguiente y se centró principalmente en usuarios de España, Alemania, Argentina, Italia, Argelia, Estados Unidos, Rusia, Francia, Reino Unido y Marruecos. Durante ese tiempo detectaron un total aproximado de 1.000 correos.

El segundo aumento comenzó el 6 de abril, con más de 1.500 correos maliciosos enviados. Durante los días siguientes siguieron llegando nuevos mensajes y en la noche del 12 de abril descubrieron otro repunte con 2.000 cartas fraudulentas más enviadas.

QBot es un troyano bancario que se sabe que está activo desde al menos 2007. Además de robar contraseñas y cookies de los navegadores web, funciona como una puerta trasera para inyectar cargas útiles de próxima etapa como Cobalt Strike o ransomware. Distribuido a través de campañas de phishing, el malware ha visto actualizaciones constantes durante su vida que incluye técnicas anti-VM, anti-depuración y anti-sandbox para evadir la detección.

«Al principio, se distribuía a través de sitios web infectados y software pirateado», dijeron los investigadores de Kaspersky al explicar los métodos de distribución de QBot. «Ahora el troyano bancario se entrega a las víctimas potenciales a través del malware que ya reside en sus ordenadores, la ingeniería social y los correos no deseados».

Fuente: TheHackerNews | adslzone