QBot: el troyano que se distribuye a través de los e-mails corporativos

Unos ciberdelincuentes están distribuyendo el troyano QBot a través de correspondencia corporativa.

A principios de abril, los expertos de Kaspersky descubrieron una campaña masiva de correo electrónico que enviaba mensajes con un PDF malicioso adjunto. Los atacantes van detrás de las empresas adjuntando un documento peligroso a la correspondencia empresarial; hemos visto e-mails en inglés, alemán, italiano y francés. El objetivo de la campaña es infectar los ordenadores de las víctimas con el malware Qbot, también conocido como QakBot, QuackBot o Pinkslipbot. Lo interesante del asunto es que hace un año nuestros especialistas observaron un crecimiento similar en el flujo de correos electrónicos con malware, entre los que se incluía Qbot.

El ataque desde el punto de vista de la víctima

El ataque se basa en las tácticas de un “secuestro de conversaciones”. Los atacantes consiguen acceder a la correspondencia corporativa auténtica (Qbot, entre otras cosas, roba e-mails almacenados localmente en ordenadores anteriores de las víctimas) y se unen al diálogo, enviando sus mensajes como si estuvieran recuperando una conversación antigua. Sus correos intentan convencer a las víctimas de que abran un archivo PDF adjunto, haciéndolo pasar por una lista de gastos o cualquier otro documento corporativo que requiera algún tipo de reacción rápida.

En realidad, el PDF contiene la imitación de una notificación de Microsoft Office 365 o Microsoft Azure. Esta notificación intenta que la víctima haga clic en el botón “Abrir”. Si lo hace, acabará descargando en el ordenador un archivo protegido con contraseña, con la clave en el texto de la propia “notificación”. Después, se espera que el destinatario descomprima el archivo y ejecute el .wsf (Windows Script File). Se trata de un script malicioso que descarga el malware QBot desde un servidor remoto. Para una descripción técnica más detallada de todas las etapas del ataque, junto con sus indicadores de compromiso, puedes visitar este artículo de nuestro sitio web Securelist.

¿Qué puede provocar una infección con QBot?

Nuestros expertos clasifican QBot como un troyano bancario que permite a los atacantes minar credenciales (nombres de usuario y contraseñas) y cookies de los navegadores, robar correspondencia, espiar actividades bancarias y registrar las pulsaciones de un teclado. También puede instalar otro malware; un ransomware, por ejemplo.

¿Cómo protegerte?

Para proteger tu empresa de los ciberdelincuentes, te recomendamos que instales una solución de seguridad de confianza en todos los dispositivos corporativos con acceso a internet. También te ayudaría que equiparas la puerta trasera del correo con un producto capaz de filtrar correos maliciosos, de phishing y de spam. Por último, para que tus empleados puedan identificar por sí mismos los trucos de los atacantes, es necesario que fomentes periódicamente sus conocimientos sobre las últimas ciberamenazas.

Consejos