No cenário dinâmico da segurança cibernética, identificar, mitigar e prevenir ameaças requer vigilância constante e estratégia adaptativa. O foco de hoje é o QBot, uma ciberameaça em evolução e persistente que é uma prova da resiliência e inovação de agentes mal-intencionados.
Conhecido também como QakBot ou Pinkslipbot, o QBot vem circulando de várias formas desde 2007, e hoje nos aprofundamos em seu modus operandi, adaptações e modificações.
QBot: de trojan bancário a conta-gotas de malware
O QBot surgiu inicialmente como um trojan bancário, roubando informações financeiras confidenciais. No entanto, o malware se transformou ao longo dos anos, mostrando a versatilidade de seu design modular.
O QBot agora serve como uma potente plataforma de entrega de malware, usada por cibercriminosos para infiltração de rede, exfiltração de dados e entrega de carga útil secundária. O malware oferece uma variedade de recursos, incluindo roubo de dados confidenciais, propagação de rede e execução remota de código.
Uma característica preocupante da evolução do QBot é sua crescente sofisticação nos métodos de entrega. Os agentes de ameaças testaram vários métodos de entrega nos últimos meses, usando diferentes tipos de arquivo, como PDF, HTML e arquivos do OneNote nos estágios iniciais.
Nas etapas de entrega secundária, o QakBot utilizou arquivos WSF, JavaScript, LNK, Batch e HTA. Esse comportamento polimórfico e adaptação contínua ressaltam a necessidade de estratégias de defesa atualizadas e multicamadas.
A conexão QBot e Black Basta
O recente ressurgimento da atividade do QBot está predominantemente ligado ao grupo de ransomware Black Basta . Esse grupo prolífico de criminosos cibernéticos aproveitou o QBot para lançar uma campanha agressiva voltada para empresas com sede nos EUA.
A campanha geralmente começa com e-mails de spam ou phishing contendo links de URL maliciosos. Depois que o usuário clica nesses links, o Black Basta implanta o QBot como o principal método para manter uma posição segura na rede da vítima.
O uso do QBot pelo Black Basta é marcado por uma rápida progressão do comprometimento inicial à implantação do ransomware. A velocidade desses ataques e a consequente desativação de mecanismos de segurança, como EDR e programas antivírus, destacam a necessidade urgente de recursos rápidos de detecção e resposta.
Nesse contexto, medidas proativas de defesa como bloqueio de conexões de rede maliciosas, redefinição do acesso ao Active Directory e resposta abrangente a incidentes são cruciais.
Sequestro de DLL: a mais nova tática no arsenal do QBot
Em uma reviravolta inventiva, os operadores do QBot recentemente começaram a explorar uma falha de sequestro de DLL (Dynamic-Link Library) no programa WordPad do Windows 10. Ao criar um arquivo DLL malicioso com o mesmo nome de um arquivo legítimo e colocá-lo no caminho de pesquisa de um arquivo executável, os operadores do QBot podem induzir o programa a executar a DLL maliciosa.
Essa tática permite que o malware execute comandos furtivamente e evite a detecção por software de segurança.
Quando iniciado, o arquivo executável do WordPad tenta carregar a DLL maliciosa. Consequentemente, o QBot é executado furtivamente em segundo plano, potencialmente roubando dados confidenciais e preparando o terreno para outros comprometimentos.
Isso inclui o uso do Cobalt Strike, um kit de ferramentas pós-exploração usado para obter acesso inicial ao dispositivo infectado, espalhar-se lateralmente pela rede e abrir caminho para ataques de ransomware.
QBot no Brasil e no mundo
A divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., conhecida como Check Point Research (CPR), divulgou o Índice Global de Ameaças correspondente a junho de 2023. No último mês, os especialistas identificaram que o malware multifuncional Qbot, um cavalo de Troia, ocupou a posição mais proeminente no cenário global de ameaças durante todo o primeiro semestre de 2023, estabelecendo sua predominância em cinco dos seis meses até então transcorridos.
No contexto brasileiro, o malware Qbot solidificou sua liderança ininterrupta desde dezembro de 2022. Este malware manteve a posição principal na lista nacional durante sete meses consecutivos, causando impactos substanciais nas organizações no Brasil. Os índices foram de 14,74% em junho, 13,94% em maio, 19,10% em abril, 21,63% em março, 19,84% em fevereiro, 16,44% em janeiro e 16,58% em dezembro de 2022. Todos esses valores são superiores aos do ranking global, apresentando praticamente o dobro das proporções em relação aos números globais correspondentes.
Quanto aos setores, no mês de junho, o setor de Educação/Pesquisa manteve sua posição de liderança como o mais visado globalmente, sendo seguido, desta vez, pelos setores de Governo/Militar e Saúde. Estes três setores têm mantido essas posições pelos últimos dois meses consecutivos.
- Educação/Pesquisa
- Governo/Militar
- Saúde
No contexto brasileiro, os três setores mais alvejados em junho foram:
- Saúde
- Educação/Pesquisa
- Transportes
É preciso estar à frente das ameaças
Diante da ameaça resiliente e em evolução do QBot, é crucial que as organizações fiquem atentas. As medidas de segurança precisam ser tão adaptáveis quanto as ameaças que pretendem neutralizar. Isso envolve não apenas manter defesas de segurança cibernética atualizadas e multicamadas, mas também promover uma cultura de conscientização sobre segurança cibernética dentro da organização.
Em conclusão, a operação de malware QakBot mostra a persistência, adaptabilidade e engenhosidade dos cibercriminosos. À medida que continuamos a lidar com essa ameaça em constante evolução, precisamos estar vigilantes e proativos para entender e combater os recursos do Qakbot.
A persistência e resiliência dos operadores do Qakbot são notáveis. Eles não apenas são capazes de manter e restabelecer o número de servidores C2 (Command-and-Control), mas possuem a capacidade de converter máquinas infectadas em um servidor de comando e controle.
Essa tática ajuda os cibercriminosos a escapar dos métodos de detecção corporativos e frustra os esforços dos provedores de hospedagem para derrubar os servidores de comando e controle (C2).
No coração da rede Qakbot, opera uma arquitetura de Comando e Controle em camadas. O primeiro nível compreende as máquinas bot convertidas, enquanto o segundo nível consiste em servidores frequentemente hospedados em provedores VPS, principalmente aqueles localizados na Rússia.
Um terceiro componente da infraestrutura do Qakbot – um servidor separado que provavelmente funciona como um servidor de backconnect – é evidente. Embora seu papel preciso permaneça parcialmente envolto em mistério, parece ter uma influência significativa na transformação de bots em proxies que podem ser usados ou vendidos para diversos fins.
No entanto, a versatilidade e adaptabilidade do Qakbot não terminam em sua estrutura de rede. Na verdade, uma das mudanças recentes em sua operação foi a mudança do uso de anexos carregados de macros para arquivos do Microsoft OneNote para seus e-mails de spam.
Essa mudança, entre outras, reflete a agilidade dos operadores do Qakbot em alterar suas técnicas em resposta a defesas aprimoradas.
Como se proteger e remover o QBot?
A capacidade do Qakbot de se propagar dentro de uma rede é altamente eficiente. No sétimo dia de uma infecção, aproximadamente 90% de todos os dados que um bot enviará para um C2 já foram transmitidos. Essa eficiência rápida e implacável destaca a necessidade urgente de uma resposta imediata quando uma infecção por Qakbot é detectada.
Mas o Qakbot não está operando isoladamente. Faz parte de um ecossistema de ameaças de malware e grupos de crimes cibernéticos que aprendem continuamente uns com os outros, refinam suas táticas e desenvolvem suas ferramentas. Recentemente, o grupo de ransomware Black Basta tem usado o Qakbot em uma campanha agressiva, visando principalmente empresas dos EUA.
Utilizando uma variedade de técnicas, de e-mails de spam e phishing a links de URL maliciosos, o Black Basta utiliza o Qakbot como uma plataforma robusta para iniciar e manter sua presença nas redes das vítimas.
Os riscos apresentados pelo Qakbot são ainda maiores pela evolução em seus métodos de entrega. Recentemente, a operação de malware começou a explorar uma falha de sequestro de DLL no programa WordPad do Windows 10.
Ao aproveitar um programa confiável como o WordPad, os agentes de ameaças esperam que o software de segurança tenha menos probabilidade de sinalizar o malware como malicioso. Essa estratégia, embora inventiva, serve como um lembrete claro da crescente sofisticação das ameaças cibernéticas.
Todas essas características destacam por que o Qakbot não é apenas mais um malware; é uma ferramenta inteligente, adaptável e robusta que se tornou parte integrante do arsenal do cibercriminoso atual.
Conheça o Halcyon
Para combatê-lo, devemos não apenas entender suas táticas e técnicas, mas também nos manter atualizados sobre seus últimos desenvolvimentos. Só então podemos ficar um passo à frente neste jogo contínuo de gato e rato contra os inimigos invisíveis do mundo digital.
A solução anti-ransomware Halcyon é a primeira plataforma de segurança adaptável e dedicada do setor que combina vários mecanismos de prevenção proprietários avançados com modelos de IA focados especificamente na interrupção do ransomware.
Para saber mais sobre como o Halcyon pode proteger sua empresa, clique no botão abaixo e baixe gratuitamente nosso ebook sobre o futuro da ciber-resiliência.
Deixe um comentário