Qbot (también conocido como Qakbot) es un malware especialmente diseñado para recopilar información bancaria de sus víctimas. Está equipado con una variedad de funciones sofisticadas de evasión y robo de información, así como una funcionalidad similar a la de un malware tipo gusano y un fuerte mecanismo de persistencia.
Las características y funciones que cuenta actualmente Qbot lo vuelve altamente peligroso. Desde su aparición a principios del 2009, Qbot ha sido registrado en múltiples organizaciones y estructuras de tipo gubernamental, infectando de gran medida miles de maquinas, principalmente en los Estados Unidos.
Su método de propagación más común es mediante las campañas masivas de correos spam, que dentro de esos correos electrónicos se adjunta un documento llamando a la acción del usuario en descargarlo y abrirlo. Generalmente siempre serán documentos relacionados a facturas, pedidos o solicitud de algún ámbito en particular.
Una vez el usuario habrá dicho documento, les aparecerá una pantalla llamando a la acción del usuario de dar clic en la opción donde dice “Enable Editing” o “Habilitar edición”. Si el usuario le da clic a ese apartado, se ejecutará en segundo plano las instrucciones vía Powershell gracias a un script hecho en macro. Lo cual dará persistencia en el equipo y será reportado a un C2 (Command and Control) para ser luego utilizado con fines de robo de datos o como puente para lanzar un payload de algún ransomware.
Qbot usa múltiples vectores por donde puede infectar a los usuarios del sistema operativo Windows. Tomando como eje principal las campañas de phishing y correos no deseados, además de usar vulnerabilidades para poder ingresar a la maquina de las victimas y empezar su trabajo de recolección de datos.
Una vez ejecutado el inicio de operaciones de la primera carga de Qbot, tendrá una espera promedio de 15 minutos, aproximadamente. Esto es debido para intentar burlar los sistemas de SandBox y Maquinas virtuales dedicadas al análisis de malwares y actividades anómalas.
Qbot ha estado presente en múltiples países de habla inglesa desde sus inicios de actividad a principios del año 2009. Los países dentro de la lista son Estados Unidos, Canadá, Brasil, Francia, Reino Unido, Alemania, Sudamérica, India, China y Rusia. Siendo el target con más incidentes los Estados Unidos.
Características de Qbot
- Roba información personal y de la organización.
- Genera persistencia dentro del equipo infectado y en la red.
- Inyecto código malicioso en el navegador web.
- Puede propagarse mediante unidades compartidas.
- Los principales objetivos son el sector privado y gubernamental.
- Actualmente se dedica a la propagación de Ransomwares en los equipos infectados, incluido ProLock y más recientemente, Egregor ransomware.
- Puede ir mutando gracias a un Command and Control (C&C) de forma diaria.
- Fuertes mecanismos de evasión Anti-VM.
