¿Qué es la familia de malware Qbot?

El malware ahora es tan común que se están creando "familias" enteras de cada tipo. Este es el caso de Qbot, una familia de malware que se utiliza para robar datos. Pero, ¿de dónde vino Qbot, qué tan peligroso es y puede mantenerse alejado?

Los orígenes de Qbot

Como suele ser el caso con el malware, Qbot (también conocido como Qakbot, Quakbot o Pinkslipbot) solo se descubrió cuando se encontró en la naturaleza. En términos de ciberseguridad, "en la naturaleza" se refiere a un escenario en el que una forma de malware se propaga entre los dispositivos objetivo sin el permiso de los usuarios. Se cree que Qbot ha estado en funcionamiento desde al menos 2007, lo que lo convierte en una forma de malware considerablemente más antigua que muchas cepas populares que existen en la actualidad.

Muchas formas de malware de la década de 2000 ya no se usan, simplemente porque no son lo suficientemente eficaces para hacer frente a la tecnología moderna. Pero Qbot se destaca aquí. Al momento de escribir este artículo, Qbot ha estado en funcionamiento durante al menos 16 años, una vida útil impresionante para un programa de malware.

Desde 2007, Qbot se ha observado repetidamente en uso en la naturaleza, aunque esto también se vio interrumpido por períodos de estancamiento. En cualquier caso, sigue siendo una opción popular entre los ciberdelincuentes.

Qbot ha evolucionado a lo largo de los años y ha sido utilizado por numerosos piratas informáticos por numerosas razones. Qbot comenzó como un troyano, un programa que permanece oculto dentro de aplicaciones aparentemente inofensivas. Los troyanos se pueden usar para muchos propósitos maliciosos, incluido el robo de datos y el acceso remoto. Qbot, más específicamente, persigue las credenciales bancarias. Por este motivo, se considera un troyano bancario.

Pero, ¿sigue siendo así? ¿Cómo funciona Qbot hoy?

¿Cómo funciona Qbot?

El Qbot que se ve hoy en día viene en muchas formas diferentes, pero es más notable un troyano ladrón de información. Como sugiere su nombre, los troyanos ladrones de información están diseñados para robar datos valiosos, como información de pago, credenciales de inicio de sesión y detalles de contacto. Principalmente, este tipo principal de malware Qbot se usa para robar contraseñas.

También se han observado variantes de Qbot que realizan registros de teclas, enlaces de procesos e incluso sistemas de ataque a través de puertas traseras.

Desde su creación en la década de 2000, Qbot se ha modificado para tener capacidades de puerta trasera, lo que lo convierte en una amenaza mucho mayor. Una puerta trasera es esencialmente una forma no oficial de infiltrarse en un sistema o red. Los hackers a menudo usan puertas traseras para llevar a cabo sus ataques, ya que les brinda una forma más fácil de entrar. "Puerta trasera. Qbot" es el nombre que recibe esta variante de Qbot.

Inicialmente, Qbot se propagó a través del malware Emotet, otra forma de troyano. Hoy en día, Qbot generalmente se propaga a través de campañas de correo electrónico maliciosas a través de archivos adjuntos. Tales campañas implican el envío de grandes volúmenes de correo no deseado a cientos, o incluso miles de destinatarios, con la esperanza de que algunos de los usuarios objetivo interactúen.

Dentro de los archivos adjuntos de correo electrónico maliciosos, Qbot se ha observado comúnmente como un archivo .zip que contiene un cuentagotas XLS cargado de macros. Si un destinatario abre un archivo adjunto malicioso, el malware se puede implementar en su dispositivo, a menudo sin su conocimiento.

Qbot también se puede propagar a través de kits de explotación. Estas son herramientas que ayudan a los ciberdelincuentes en la implementación de malware. Los kits de explotación pueden resaltar las vulnerabilidades de seguridad dentro de los dispositivos y luego abusar de dichas vulnerabilidades para obtener acceso no autorizado.

Pero las cosas no terminan con el robo de contraseñas y las puertas traseras. Los operadores de Qbot también han jugado un papel importante como intermediarios de acceso inicial. Estos son ciberdelincuentes que venden acceso al sistema a otros actores malintencionados. En el caso de los actores de Qbot, se ha otorgado acceso a algunos grupos grandes, incluido REvil. ransomware como servicio organización. De hecho, se ha observado que varios afiliados de ransomware usan Qbot como acceso inicial al sistema, lo que le da a este malware otro propósito preocupante.

Qbot ha aparecido en muchas campañas maliciosas y se usa para apuntar a una variedad de industrias. Las organizaciones de atención médica, los sitios web bancarios, los organismos gubernamentales y las empresas manufactureras han sido el objetivo de Qbot. Trend Micro informó en 2020 que el 28,1 por ciento de los objetivos de Qbot se encuentran dentro del ámbito de la atención médica.

Otras ocho industrias, junto con muchas otras diversas, también se encuentran dentro del rango objetivo de Qbot, que incluyen:

• Fabricación.
• Gobiernos.
• Seguro.
• Educación.
• Tecnología.
• Petróleo y gas.
• Transporte.
• Minorista.

TrendMicro también declaró en el mismo informe que Tailandia, China y EE. UU. tuvieron las cifras más altas de detección de Qbot en 2020. Otros lugares de detección comunes incluyen Australia, Alemania y Japón, por lo que Qbot es evidentemente una amenaza global.

Qbot ha existido durante tantos años porque sus tácticas de ataque y evasión han evolucionado continuamente para mantenerse al día con las medidas modernas de ciberseguridad. La diversidad de Qbot también lo convierte en un gran peligro para las personas de todo el mundo, ya que pueden ser atacados de muchas maneras usando este programa.

Cómo evitar el malware Qbot

Es virtualmente imposible evitar el malware el 100 por ciento del tiempo. Incluso el mejor programa antivirus no puede protegerlo de los ataques de forma indefinida. Pero tener un software antivirus instalado en su dispositivo jugará un papel crucial para mantenerlo a salvo contra el malware. Esto debe considerarse el primer paso cuando se trata de ciberseguridad. ¿Qué es lo siguiente?

Debido a que Qbot se propaga comúnmente a través de campañas de spam, es importante que conozca los indicadores de correo malicioso.

Existen numerosas señales de alerta que pueden exponer un correo electrónico como malicioso, comenzando por el contenido. Si una nueva dirección le ha enviado un correo electrónico que contiene un enlace o un archivo adjunto, es aconsejable mantenerse alejado hasta que esté seguro de que es confiable. Hay varios sitios de verificación de enlaces puede usar para verificar la legitimidad de una URL para saber si es seguro hacer clic.

Los archivos adjuntos pueden ser tan peligrosos como los enlaces cuando se trata de una infección de malware, por lo que debe tener cuidado con ellos al recibir correos electrónicos.

Hay ciertas extensiones de archivos adjuntos que tienden a usarse para propagar malware, incluidos .pdf, .exe, .doc, .xls y .scr. Si bien estas no son las únicas extensiones de archivo que se utilizan para la infección de malware, se encuentran entre los tipos más comunes, así que esté atento a ellas cuando reciba archivos adjuntos en sus correos electrónicos.

Si alguna vez recibe un correo electrónico de un remitente nuevo que contiene un sentido de urgencia, también debe estar en guardia. Los ciberdelincuentes tienden a utilizar un lenguaje persuasivo en sus comunicaciones para obligar a las víctimas a cumplir.

Por ejemplo, puede recibir un correo electrónico que indique que una de sus cuentas de redes sociales ha sido bloqueada debido a repetidos intentos de inicio de sesión. El correo electrónico podría recibir un enlace en el que debe hacer clic para iniciar sesión en su cuenta y desbloquearla, pero, en En realidad, este es un sitio malicioso diseñado para robar los datos que ingresa (en este caso, su nombre de usuario). cartas credenciales). Por lo tanto, si recibe un correo electrónico particularmente persuasivo, considere si está siendo manipulado para cumplir, ya que esta es una posibilidad muy real.

Qbot es una forma importante de malware

El aumento de la versatilidad de un programa de malware casi siempre lo convierte en una amenaza mayor y, con el paso del tiempo, la diversificación de Qbot lo ha asegurado como una fuerza peligrosa. Esta forma de malware puede continuar evolucionando con el tiempo, y realmente no se sabe qué capacidades se adaptarán a continuación.