Qakbot, un troyano bancario que se propaga por correo electrónico, es cada vez más avanzado y peligroso para las organizaciones. Aunque se descubrió en 2007 , recientemente, la firma Sophos publicó un análisis técnico profundo sobre esta botnet.
El botnet recopila una amplia gama de información de los equipos infectados, como son las cuentas y permisos de usuario configurados, software instalado, servicios en ejecución, entre otros. Posteriormente, descarga una serie de módulos maliciosos adicionales en los equipos, que mejoran para generar mayor control en la computadora central de la red infectada.
“Inserta mensajes maliciosos en las conversaciones de correo electrónico de los usuarios. Incluyen una oración corta y un enlace para descargar un archivo zip que contiene una hoja de cálculo de Excel maliciosa”, explica en un comunicado.
De acuerdo con voceros de Sophos, su código de malware presenta encriptación no convencional, que también utiliza para ocultar el contenido de sus comunicaciones.
En el citado análisis se logró descifrar los módulos maliciosos así como el sistema de comando y control de la botnet, de esta manera se pudo interpretar cómo emite y recibe las instrucciones entre los equipos infectados.
Andrew Brandt, investigador principal de amenazas en Sophos, señaló que la botnet captura una serie de datos detallados del perfil de la víctima, así como su capacidad para procesar secuencias complejas de comandos y una serie de cargas útiles para ampliar la funcionalidad de su “motor central”.
En el caso hallado por la firma de ciberseguridad, Qakbot descargó al menos tres cargas maliciosas diferentes en forma de bibliotecas de enlaces dinámicos (DLL). Según Sophos, estas proporcionan a la botnet una gama más amplia de capacidades.
También lee: Dos de cada cinco empresas no protegen sus infraestructuras IoT
Además, las cargas útiles se inyectaron en los navegadores y contenían un módulo que insertó código para robar contraseñas en páginas web, otro que realizó escaneos de red, recopilando datos sobre otras máquinas en las proximidades de la computadora infectada y un tercero que identificaba las direcciones de una docena de servidores de correo electrónico SMTP (Protocolo simple de transferencia de correo) para luego conectarse a cada uno de ellos y enviar spam.
A mayor riesgo, acciones inmediatas
Brandt considera que toda aparición de una botnet es el precursor lógico de un ataque de ransomware. Por ello, sugiere que los equipos de seguridad tomen muy en serio la presencia de infecciones de Qakbot en su red para investigar y eliminar todo rastro.
“Las redes de bots pueden generar ransomware, pero además los desarrolladores de botnets venden su acceso a las redes violadas posteriormente. Por ejemplo, Sophos encontró muestras de Qakbot que entregan balizas Cobalt Strike directamente a un host infectado. Una vez que los operadores de Qakbot han utilizado la computadora infectada, pueden transferir o vender el acceso a estas balizas a los clientes que las paguen”, señaló el ejecutivo.
Hace tiempo, otro reporte del proveedor reveló que los administradores de tecnologías de la información en México no pueden identificar el 51% del tráfico en su red.
Ante el avance actual de la botnet Qakbot, Sophos recomienda que los usuarios se acerquen a los correos electrónicos inusuales o inesperados con precaución, incluso cuando parecen ser respuestas a conversaciones de correo electrónico existentes. Una posible señal de alerta para los destinatarios es el uso de frases en latín en las URL.