O trojan bancário Qbot, também conhecido por Qakbot ou Pinkslipbot, foi descoberto em 2008 e é conhecido por coligir dados de navegação e roubar credenciais bancárias, entre outras informações financeiras.
Os investigadores da Check Point® Software Technologies Ltd. alertam para as novas funcionalidades que têm sido continuamente adicionadas ao Qbot ao longo dos anos. Estes novos ‘truques’ significam que, apesar da idade, o Qbot persiste enquanto ameaça à segurança das organizações.
Ao infetar um dispositivo, este malware é capaz de:
- Roubar informações pessoais, incluindo palavras-passe, e-mails, detalhes bancários, entre outros
- Instalar outros malwares no dispositivo, incluindo ransomware
- Permitir a conexão do cibercriminoso responsável pelo controlo do bot ao computador da vítima (mesmo quando a vítima tem sessão iniciada) para fazer transações bancárias a partir do seu endereço IP
- Tomar posse de contas de e-mail da vítima no sentido de infetar outros utilizadores, na sua rede de contactos
Entre março e finais de junho deste ano, registou-se uma campanha proeminente do malware Qbot. Os investigadores da Check Point concluíram que a sua interrupção advinha da pretensão dos cibercriminosos de implementar desenvolvimentos adicionais às funcionalidades do vírus, contudo, não se esperava que o malware voltasse à ação em tão pouco tempo.
Nos finais de julho, os investigadores da Check Point alertaram para o regresso de uma das mais perigosas ciberameaças da atualidade, o Emotet Trojan, responsável por disseminar várias campanhas de malspam, impactando 5% das organizações a nível global. Algumas destas campanhas incluíam a instalação de uma versão atualizada do Qbot nos computadores das vítimas. Uma amostra mais recente do Qbot, lançada a partir da última campanha de Emotet identificada, levando os investigadores da Check Point a descobrir uma infraestrutura de comando e controlo renovada, bem como novas técnicas de malware distribuídas por meio do processo de infeção do Emotet.
Recomeçando em Agosto, a campanha de malspam do Qbot disseminou-se globalmente, infetando novos alvos. Uma das suas capacidades mais recentes é particularmente nefasta: assim que um dispositivo seja infetado, é ativado um ‘módulo coletor de e-mails’ que extrai todas as conversações a decorrer da conta Outlook da vítima, guardando-as num servidor remoto. Estes e-mails roubados são posteriormente utilizados para futuras campanhas de malspam, fazendo com que seja mais fácil induzir os utilizadores a clicar em anexos infetados, uma vez que a pasta de spam continua intacta. Os investigadores da Check Point têm vindo a alertar para a utilização de vários temas atuais para difundir campanhas de e-mail maliciosas, como são exemplo falsas notícias relativas à Covid-19, lembretes de pagamento de impostos e propostas de emprego.
Os investigadores da Check Point concluíram que a maioria dos seus ataques teve como alvo o setor militar, governo e indústria, sediados maioritariamente nos Estados Unidos e Europa, como demonstram os gráficos das figuras 2 e 3, respetivamente.
O e-mail continua a ser uma das principais portas de entrada utilizadas pelos cibercriminosos para ameaçar a segurança das empresas – mais de 80% dos ataques que visam empresas têm ínicio num e-mail malicioso. Fechar esta brecha de segurança requer uma proteção otimizada contra múltiplos vetores: phishing, malware, roubo de dados e a apropriação de contas.
Neste sentido, a Check Point disponibiliza a CloudGuard SaaS, solução que proporciona às empresas uma proteção completa e que se adapta constantemente às frequentes alterações das ciberameaças, ao mesmo tempo que garante aos administradores uma plataforma de fácil gestão, reduzindo o TCO (Total Cost of Ownership) e reforçando a cibersegurança.
Comentários