Os operadores do botnet Qbot estão usando uma tática nova em suas ações. Eles estão enviando cargas do malware Qbot por meio de e-mails de phishing com anexos de arquivo ZIP protegidos por senha contendo pacotes maliciosos do MSI Windows Installer. Esta é a primeira vez que os operadores do Qbot mudam a maneira padrão de entregar o malware por meio de e-mails de phishing, descartando documentos do Microsoft Office com macros maliciosas nos dispositivos dos alvos.
Malware Qbot
Qbot é um trojan bancário modular do Windows com recursos de worm usados ??desde pelo menos 2007 para roubar credenciais bancárias, informações pessoais e dados financeiros, bem como para soltar backdoors em computadores comprometidos e implantar Cobalt Sinalizadores de greve.
Esse malware também é conhecido por infectar outros dispositivos em uma rede comprometida usando explorações de compartilhamento de rede e ataques de força bruta altamente agressivos direcionados a contas de administrador do Active Directory.
Embora ativo há mais de uma década, o malware Qbot tem sido usado principalmente em ataques altamente direcionados contra entidades corporativas, pois proporcionam um maior retorno sobre o investimento. Várias gangues de ransomware, incluindo REvil, Egregor, ProLock, PwndLocker e MegaCortex, também usaram o Qbot para violar redes corporativas.
Como as infecções do Qbot podem levar a infecções perigosas e ataques altamente disruptivos, os administradores de TI e profissionais de segurança precisam se familiarizar com esse malware, as táticas que ele está usando para se espalhar por uma rede e as usadas pelos operadores de botnets para entregá-lo a novos alvos.
Mudança na ação do Malware Qbot
Pesquisadores de segurança suspeitam que essa mudança possa ser uma reação direta ao anúncio da Microsoft de planos para eliminar a entrega de malware por meio de macros do VBA Office em fevereiro, após desabilitar as macros do Excel 4.0 (XLM) por padrão em janeiro.
A Microsoft começou a lançar o recurso de bloqueio automático de macro VBA para usuários do Office para Windows no início desse mês, começando com a versão 2203 no canal atual (visualização) e para outros canais de lançamento e versões mais antigas posteriormente.
Essa é uma melhoria de segurança significativa para proteger os clientes do Office, pois o uso de macros VBA maliciosas incorporadas em documentos do Office é um método predominante para enviar uma grande variedade de variedades de malware em ataques de phishing, incluindo Qbot, Emotet, TrickBot e Dridex, aponta o BleepingComputer.
Via: BleepingComputer
