En el constante juego del gato y el ratón que es la ciberseguridad, los atacantes siempre están buscando nuevas maneras de eludir las defensas y perpetrar sus acciones malintencionadas. Recientemente, una innovadora táctica ha salido a la luz, destacando la sofisticación y adaptabilidad de los ciberdelincuentes. La nueva variante del malware Qbot, conocida por su capacidad para robar datos financieros y realizar otras actividades nefastas, ha adoptado un enfoque particularmente astuto: se disfraza como una instalación de Adobe falsa para engañar a los usuarios y evadir la detección.
Este enfoque no solo demuestra la evolución continua del malware Qbot, sino que también resalta una vulnerabilidad crítica en la seguridad digital: la confianza de los usuarios en las solicitudes de instalación de software aparentemente legítimas.
El equipo detrás del malware Qakbot, también conocido como QBot, o individuos con acceso a su código fuente, parecen estar innovando con versiones actualizadas, evidenciado por nuevas variantes detectadas en campañas de phishing desde mediados de diciembre.
Una variante notable engaña a los usuarios en Windows mediante un instalador falso de Adobe, incitándolos a instalar el malware inadvertidamente. Durante años, QBot ha funcionado como un vector de distribución para múltiples tipos de malware, incluidos ransomwares, utilizando principalmente el correo electrónico para alcanzar a sus víctimas.
Conoce más sobre: Post-Qakbot: Mitigación y Defensa Ante Nuevas Amenazas
Antes de su interrupción en agosto, QBot había comprometido más de 700,000 sistemas, ocasionando pérdidas económicas estimadas en más de 58 millones de dólares en tan solo 18 meses. La operación, apodada Duck Hunt, no resultó en arrestos, y muchos expertos en seguridad anticiparon que los responsables de Qakbot eventualmente reconstruirían su infraestructura y reanudarían las actividades de distribución.
Cisco Talos reportó el año pasado sobre una campaña de Qakbot activa antes y después del desmantelamiento, lo que sugiere que la intervención solo afectó a los servidores de mando y control del malware, no a su capacidad de distribución a través de spam.
En diciembre de 2023, Microsoft detectó una campaña de phishing de QBot simulando ser comunicaciones del IRS, confirmando así las sospechas de su persistencia. Sophos X-Ops, un equipo especializado en respuesta a amenazas avanzadas, identificó recientemente actividad de Qbot con hasta 10 nuevas versiones emergiendo desde mediados de diciembre.
Investigadores de una firma de seguridad en la nube, también han observado estas innovaciones en Qbot, publicando un informe técnico a finales de enero que documenta la evolución del malware desde su aparición en 2008.
Te podrá interesar: Desmantelamiento de Qakbot: Un Caso de Éxito en Ciberseguridad
Los expertos de Sophos X-Ops han desmenuzado recientes muestras de Qbot, identificando incrementos menores en las versiones de construcción. Este detalle revela que los desarrolladores están en una fase activa de prueba y perfeccionamiento de los binarios.
Encontradas en diciembre y enero, estas muestras se distribuyen mediante un instalador de software de Microsoft (.MSI), el cual libera un binario DLL a través de un archivo .CAB (Windows Cabinet). Este enfoque marca una desviación de las estrategias previas, que involucraban la inyección de código en procesos legítimos de Windows (como AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe) para esquivar la detección.
Las variantes recientes de Qakbot introducen técnicas de ofuscación avanzadas, incluyendo el uso de cifrado para disfrazar las cadenas de datos y la comunicación con el servidor de comando y control (C2). De manera específica, este malware implementa cifrado AES-256, un avance respecto al método XOR presente en versiones anteriores.
Este malware ahora también realiza búsquedas de soluciones de protección de endpoints y ha reinstaurado pruebas para detectar entornos virtualizados, procurando evadir la detección al entrar en un bucle infinito si detecta que está operando en una máquina virtual.
Adicionalmente, Qakbot despliega un falso aviso de instalación de Adobe Setup para confundir a los usuarios con mensajes engañosos que activan el malware, independientemente de la interacción del usuario.
Desde Sophos, indican que al monitorear de cerca las evoluciones de QBot, pueden refinar sus reglas de detección y compartir información vital con la comunidad de seguridad.
Aunque solo se han identificado unas pocas muestras desde la desactivación de la infraestructura C2 de Qbot el año pasado, los investigadores enfatizan la importancia de mantener una vigilancia constante sobre cualquier intento de los actores de amenazas por reactivar su red, sugiriendo que cualquier indicio de actividad merece una observación detallada y escrutinio.
Te podrá interesar: Desentrañando el Mundo de la Ciberseguridad C2
La aparición de esta nueva variante de Qbot subraya la importancia de la vigilancia en el ámbito digital. La continua evolución de las tácticas de malware requiere una conciencia constante y una actitud proactiva hacia la seguridad en línea. Al educarse sobre las amenazas emergentes y seguir las mejores prácticas de seguridad, los usuarios pueden fortalecer su defensa contra los ingeniosos esquemas de los ciberdelincuentes.
El panorama de la ciberseguridad está siempre cambiando, y mantenerse informado es clave para proteger su información personal y profesional. A través de la adopción de hábitos de seguridad sólidos y manteniendo una actitud cautelosa en línea, podemos colectivamente reducir el impacto de estas amenazas y crear un entorno digital más seguro para todos.