{"id":22303,"date":"2021-07-12T08:43:20","date_gmt":"2021-07-12T14:43:20","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22303"},"modified":"2021-07-12T08:43:20","modified_gmt":"2021-07-12T14:43:20","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/icedid-qbot-banking-trojans-in-spam\/22303\/","title":{"rendered":"Los troyanos bancarios en envoltura empresarial"},"content":{"rendered":"

Para los empleados que reciben cientos de correos electr\u00f3nicos, la tentaci\u00f3n de hacer una lectura r\u00e1pida y descargar los archivos adjuntos en piloto autom\u00e1tico puede ser genial. Y, por supuesto, los cibercriminales se aprovechan y env\u00edan documentos al parecer importantes que puede incluir de todo desde enlaces de phishing<\/em><\/a> hasta malware<\/em>. Recientemente, nuestros expertos descubrieron<\/a> dos campa\u00f1as de spam muy parecidas que distribuyen los troyanos bancarios<\/a> IcedID y Qbot.<\/p>\n

Spam con documentos maliciosos<\/h2>\n

Ambos correos electr\u00f3nicos estaban disfrazados de correspondencia empresarial. En el primer caso, los atacantes exigieron compensaci\u00f3n por alguna raz\u00f3n rid\u00edcula o mencionaron algo sobre cancelar una operaci\u00f3n. El mensaje conten\u00eda adjunto un archivo Excel comprimido con el nombre CompensationClaim y varios n\u00fameros. La segunda ola de correos de spam involucraba pagos y contratos, e inclu\u00eda un enlace al sitio web hackeado que almacenaba el archivo que conten\u00eda el documento.<\/p>\n

En ambos casos, el objetivo de los atacantes era persuadir al destinatario para que abriera el archivo malicioso de Excel y ejecutara en macro que conten\u00eda, para que de esta manera descargara IcedID o Qbot (menos com\u00fan) en la m\u00e1quina de la v\u00edctima.<\/p>\n

<\/strong><\/p>\n

IcedID y Qbot<\/h2>\n

Los troyanos bancarios IcedID y Qbot existen desde hace a\u00f1os; IcedID fue notado primero por los investigadores<\/a> en 2017 y Qbot est\u00e1 en servicio desde 2008<\/a>. Adem\u00e1s, los atacantes constantemente afinan sus t\u00e9cnicas. Por ejemplo, en alg\u00fan momento ocultaron el componente principal de IcedID en una imagen PNG con un truco llamado esteganograf\u00eda<\/a> que es muy dif\u00edcil de detectar.<\/p>\n

El d\u00eda de hoy, ambos programas maliciosos est\u00e1n disponibles en el mercado sombra; adem\u00e1s de sus creadores, muchos clientes distribuyen estos troyanos. La tarea principal del malware<\/em> es robar la informaci\u00f3n de la tarjeta bancaria y las credenciales de inicio de sesi\u00f3n de las cuentas bancarias, de preferencia de cuentas empresariales (esto explica los correos con estilo comercial). Para lograr sus objetivos, los troyanos emplean m\u00faltiples m\u00e9todos. Por ejemplo, podr\u00edan:<\/p>\n