El malware Qakbot reaparece con una táctica para permanecer oculto
mayo 6, 2019El malware desarrollado para Windows, que se caracteriza por roba credenciales de inicio de sesión y atacar el área financiera de varias empresas, está de vuelta con una actualización que le permitiría permanecer oculto. Desde hace 11 años que viene haciendo de las suyas: El malware troyano que roba información se dirige a los sistemas […]
El malware desarrollado para Windows, que se caracteriza por roba credenciales de inicio de sesión y atacar el área financiera de varias empresas, está de vuelta con una actualización que le permitiría permanecer oculto.
Desde hace 11 años que viene haciendo de las suyas: El malware troyano que roba información se dirige a los sistemas de Microsoft Windows en un esfuerzo por crear backdoors y eliminar los nombres de usuario y las contraseñas que pueden proporcionar acceso a los datos financieros.
Las víctimas del malware generalmente se infectan a través de un dropper que, cuando se instala con éxito, creará una tarea programada en la máquina infectada, la cual le indicará que ejecute un descargador de JavaScript de uno de varios dominios maliciosos controlados por un atacante.
El nuevo descargador siempre solicitará recursos del mismo Identificador Uniforme de Recursos (Uniform Resource Identifier) en los dominios secuestrados que están encriptados XOR, para así ayudar a ofuscar los datos maliciosos contenidos en un descargador de JavaScript y permitir que el malware realice sus tareas.
Esto también ayuda al malware, que ahora se divide en dos archivos separados, que solo se vuelven a ensamblar para implementar Qakbot cuando se ejecuta el ejecutable caído, lo que dificulta la detección del software antivirus.
“La detección centrada en ver la transferencia completa del ejecutable malintencionado probablemente omitirá esta versión actualizada de Qakbot. Debido a esta actualización de los mecanismos de persistencia, la transferencia del binario Qbot malicioso se confunde hasta el punto de que algunos productos de seguridad podrían fallar”, declaran los investigadores de Cisco, quienes descubrieron esta actualización del malware.
Una vez implementado en un sistema infectado, el malware troyano funcionará en segundo plano para robar los datos relevantes para los objetivos de los atacantes.
Artículos relacionados
Los videojuegos en el ojo de los ciberdelincuentes
26 de abril de 2019¿Habrá alguna industria -ciber- segura hoy? Bueno, probablemente no, y si pensabas que al menos los videojuegos se salvaban, estás equivocado. Actualmente también están siendo víctimas de distintos tipos de ciberataques. Ransomware, mercado negro de cuentas y más ligado a los videojuegos en el siguiente artículo.
