O trojan Qbot evolui para sequestrar os tópicos legítimos de e-mail

O trojan Qbot apareceu pela primeira vez em 2008 como malware bancário e de roubo de credenciais, evoluindo ao longo dos anos para realizar ataques de ransomware, tornando-o algo como um canivete do exército suíço do mundo do malware.

Os pesquisadores da Check Point descobriram agora uma nova evolução que permite a Qbot sequestrar conversas legítimas de e-mail de um cliente de e-mail Outlook do usuário infectado e, em seguida, enviar spam usando esses e-mails seqüestrados para aumentar suas chances de enganar outros usuários a se infectarem.

Calcula-se que existam mais de 100.000 vítimas atuais em todo o mundo, tornando-o o malware mais difundido atualmente no mercado. Os EUA são o país alvo número um, constituindo quase 29% dos ataques detectados, seguidos pela Índia, Israel e Itália com 7% cada um.

A cadeia de infecção começa com o envio de e-mails especialmente trabalhados para as organizações ou indivíduos alvo. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, que contém código que pode ser executado dentro do Windows.

Assim que uma máquina é infectada, Qbot ativa um ‘módulo coletor de e-mails’ que extrai todos os tópicos de e-mail do cliente Outlook da vítima, e os envia para um servidor remoto hardcoded. Estes e-mails roubados são então utilizados para futuras campanhas de spam, tornando mais fácil para os usuários serem enganados ao clicar em anexos infectados, porque o e-mail de spam parece continuar uma conversa legítima de e-mail existente.

“Nossa pesquisa mostra como mesmo as formas mais antigas de malware podem ser atualizadas com novos recursos para torná-las uma ameaça perigosa e persistente”, diz Yaniv Balmas, chefe de pesquisa cibernética da Check Point. “Os atores da ameaça por trás da Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos”. Temos visto campanhas ativas de malspam distribuindo Qbot diretamente, assim como o uso de infraestruturas de infecção de terceiros como Emotet’s para espalhar a ameaça ainda mais. Esperamos que nossas observações e pesquisas sobre o Qbot ajudem a pôr um fim à ameaça. Por enquanto, recomendo fortemente que as pessoas observem atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing – mesmo quando o e-mail parece vir de uma fonte confiável”.