Los investigadores de ciberseguridad han descubierto una nueva campaña de piratería que distribuye el temido malware Qbot.
Qbot es utilizado por algunos de los mayores operadores de ransomware del mundo, como BlackBasta, REvil, Egregor y otros.
Según los investigadores ProxyLife y Cryptolaemus, los ciberdelincuentes utilizan cuentas de correo electrónico secuestradas para propagar el malware. Usarían la cuenta robada para responder a una cadena de correos electrónicos, para no parecer demasiado sospechosos. En el mensaje de respuesta, distribuirían un archivo .PDF llamado «CancellationLetter-[number]”. Si la víctima abre el archivo, verá un mensaje que dice «Este documento contiene archivos protegidos, para mostrarlos, haga clic en el botón «abrir».
Evolución del troyano bancario
Sin embargo, al presionar el botón, se descarga un archivo .ZIP con un documento Windows Script (WSF). Ese archivo, como explican los investigadores, es una combinación de códigos JavaScript y Visual Basic Script que descargan Qbot.
Qbot solía ser un troyano bancario, pero desde entonces se ha convertido en un malware completo que brinda acceso a puntos finales comprometidos. Grandes sindicatos de ciberdelincuentes usan Qbot para entregar malware de etapa dos. En particular, el ransomware.
Para defenderse de este ataque, así como de innumerables ataques similares, la mejor manera es usar primero el sentido común: si no está esperando un correo electrónico, especialmente con un archivo adjunto, sea escéptico sobre su contenido. Lo mismo ocurre con los enlaces en los cuerpos de los correos electrónicos: verifique siempre antes de abrir cualquier enlace.
Además, tener las soluciones de ciberseguridad adecuadas no hará daño: una solución de seguridad de correo electrónico, un antivirus o un firewall ayudarán en la batalla contra el malware y el ransomware. Además, tener la autenticación multifactor (MFA) configurada en todas las cuentas siempre que sea posible es una excelente manera de protegerse contra el robo de datos e identidad.
Finalmente, mantener actualizado el hardware y el software es crucial. Al aplicar los últimos parches y actualizaciones de firmware, mantiene sus terminales seguros frente a vulnerabilidades conocidas de las que los actores de amenazas pueden abusar con malware.
Vía: BleepingComputer (se abre en una pestaña nueva)