Trojan bancário Qbot: tem como alvo clientes de bancos dos EUA

Qbot banking trojan

Seus pesquisadores de segurança F5 Labs ataques identificados com Cargas úteis de malware Qbot, destinado a roubo de credenciais de clientes de dezenas de bancos dos EUA. O Qbot (também conhecido como Qakbot, Pinkslipbot e Quakbot) é um Trojan banking com possibilidades “Minhoca“. Usado para roubo de credenciais bancárias e dados financeiros. Ao mesmo tempo, é capaz de monitorar a digitação do usuário (keylogging) e para instala backdoors e outros malwares para infectar ainda mais as máquinas infratoras.

As pessoas que foram vítimas do trojan bancário Qbot são clientes dos seguintes bancos conhecidos (mas também de outros): JP Morgan, Citibank, Bank of America, Cidadãos, Capital One, Wells Fargo e FirstMerit Bank.

No geral, a campanha Qbot visa 36 diferentes instituições financeiras dos EUA, bem como dois bancos no Canadá e na Holanda.

bancos

Qbot: um antigo bancário trojan com novos recursos!

O Qbot é usado desde pelo menos 2008. Seu núcleo não mudou muito, no entanto, os últimos espécimes descobertos pelos pesquisadores do F5 Labs incluem um conjunto Novas características.

As novas versões do Qbot Trojan são projetadas para localize e evite a prisão e a análise por pesquisadores de segurança.

Qbot tem a capacidade de esconde seu código de scanners e outras ferramentas relacionadas. O malware também tem técnicas de máquinas anti-virtuais, o que também dificulta a análise.

O malware é entregue aos computadores de destino principalmente com seqüestros de navegador (redireciona).

Uma vez inserido na máquina da vítima, o Qbot é carregado na memória do processo explorer.exe e copiado para a pasta% APPDATA%.

Após a cópia, o malware será introduzido em um novo processo explorer.exe.

“Como o Qbot monitora o tráfego da web da vítima, procura serviços financeiros específicos dos quais coletará credenciais “, explicou o analista.

Os atacantes costumam usar kits de exploração instalar cargas maliciosas do Qbot em suas máquinas de destino enquanto bot infectará outros dispositivos na mesma rede através de explorações e ataques de força bruta direcionados a contas de administrador do Active Directory.

Este Trojan bancário é usado principalmente em ataques direcionados em entidades corporativas que podem oferecer muitos lucros a seus operadores.

Por esse motivo, muitas campanhas do Qbot não foram identificadas, embora o Trojan tenha sido usado por mais de 10 anos. Os pesquisadores identificaram uma campanha em outubro de 2014, uma em abril de 2016 e outra em meados de maio de 2017.

Diz-se também que o Qbot foi usado mais recentemente pela quadrilha Emoções, nos estágios iniciais do ataque.

Mais detalhes sobre a nova campanha Qbot podem ser encontrados no relatório do F5 Labs.