Canal de Telegram

2 ago 2022

Segu-Info » , » Técnicas de evasión usadas por Qbot

Técnicas de evasión usadas por Qbot

2 ago 2022, 3:30:00 p.m.   Comenta primero!
  ,  

Qbot (también conocido como Qakbot o Pinkslipbot) es un troyano bancario que roba información confidencial de las máquinas de las víctimas y la envía a un servidor de comando y control (C2). Esta amenaza fue identificada en 2007 y sigue activa con diferentes variantes.

El equipo de investigación de amenazas de Uptycs observó recientemente algunos cambios en el flujo de infección de Qbot. Un método de carga lateral de DLL para ejecutar código malicioso ayuda al malware a eludir los mecanismos de detección. Otra técnica que hemos observado en el binario de Qbot es la autodepuración (utilizando variables de entorno) que utiliza para comprobar si el sistema ya está infectado. Además, algunas versiones nuevas del binario Qbot apuntan al proceso wermgr.exe para inyectar el código malicioso.

La siguiente figura muestra la cadena de infección de las versiones más nuevas del binario Qbot.

Como podemos ver en el diagrama, la cadena de infección para los binarios más nuevos incluye aplicaciones confiables como calc.exe para carga lateral de DLL.

Al abrir el archivo HTML que llega a través del correo electrónico no deseado, se descarga un archivo ZIP protegido con contraseña llamado "TXRTN_2636021.zip" en el sistema local. La siguiente captura de pantalla muestra la página HTML del correo electrónico no deseado.

Al extraer el archivo ZIP usando la contraseña mencionada en la página HTML, podemos obtener un archivo ISO. El archivo ISO contiene lo siguiente:

  • Archivo LNK: TXRTN_8468190: este archivo LNK es el punto de activación de la ejecución
  • WindowsCodecs.dll: nombre de archivo de Windows (nombre enmascarado) para ejecutar cargas maliciosas
  • Calc.exe: Archivo de Windows legítimo con atributo oculto
  • 102755.dll - Qbot DLL con atributo oculto

 La siguiente captura de pantalla muestra los archivos dentro del archivo ISO.

Al ejecutar el archivo LNK, inicia el "Calc.exe" y carga el archivo llamado "WindowsCodecs.dll" que contiene el código malicioso. Esto crea un nuevo proceso con la carga de malware "102755.dll" (archivo desarrollado en Delphi) y la siguiente línea de comando: 

C:\Windows\Syswow64\regsvr32.exe 102755.dll

Esta es la cadena de ejecución final:


Conclusión: detectar y detener los ataques de Qbot

La investigación sobre Qbot muestra los avances en su cadena de ataque. Las empresas deben contar con estrictos controles de seguridad y soluciones de seguridad y visibilidad de varias capas para identificar y detectar malware como Qbot. El análisis de procesos con YARA, detecciones avanzadas y la capacidad de correlacionar eventos de registro, eventos de archivos de procesos, y eventos de API, detecta con éxito diferentes tipos de tácticas llevadas a cabo por Qbot.

Fuente: Uptycs

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!