Noticias

El malware Qakbot reaparece con una táctica para permanecer oculto

mayo 6, 2019
El malware desarrollado para Windows, que se caracteriza por roba credenciales de inicio de sesión y atacar el área financiera de varias empresas, está de vuelta con una actualización que le permitiría permanecer oculto.   Desde hace 11 años que viene haciendo de las suyas: El malware troyano que roba información se dirige a los sistemas […]

El malware desarrollado para Windows, que se caracteriza por roba credenciales de inicio de sesión y atacar el área financiera de varias empresas, está de vuelta con una actualización que le permitiría permanecer oculto.  

Desde hace 11 años que viene haciendo de las suyas: El malware troyano que roba información se dirige a los sistemas de Microsoft Windows en un esfuerzo por crear backdoors y eliminar los nombres de usuario y las contraseñas que pueden proporcionar acceso a los datos financieros.

Las víctimas del malware generalmente se infectan a través de un dropper que, cuando se instala con éxito, creará una tarea programada en la máquina infectada, la cual le indicará que ejecute un descargador de JavaScript de uno de varios dominios maliciosos controlados por un atacante.

El nuevo descargador siempre solicitará recursos del mismo Identificador Uniforme de Recursos (Uniform Resource Identifier) en los dominios secuestrados que están encriptados XOR, para así ayudar a ofuscar los datos maliciosos contenidos en un descargador de JavaScript y permitir que el malware realice sus tareas.

Esto también ayuda al malware, que ahora se divide en dos archivos separados, que solo se vuelven a ensamblar para implementar Qakbot cuando se ejecuta el ejecutable caído, lo que dificulta la detección del software antivirus.

“La detección centrada en ver la transferencia completa del ejecutable malintencionado probablemente omitirá esta versión actualizada de Qakbot. Debido a esta actualización de los mecanismos de persistencia, la transferencia del binario Qbot malicioso se confunde hasta el punto de que algunos productos de seguridad podrían fallar”, declaran los investigadores de Cisco, quienes descubrieron esta actualización del malware.

Una vez implementado en un sistema infectado, el malware troyano funcionará en segundo plano para robar los datos relevantes para los objetivos de los atacantes.

malwareqakbotqbottroyanowindows

Comparte este Artículo

Artículos relacionados