🧙🏿 👶🏼 💰 Y de nuevo Qbot: una nueva variedad de troyanos bancarios ⛽️ 🧦 🚪

Descubrimos y aplicamos ingeniería inversa a otra nueva variedad de Qbot, un malware complejo y ampliamente conocido que recopila datos que le permiten cometer fraude financiero. Estos son ejemplos de los datos que recopila Qbot: cookies del navegador, información de certificados, pulsaciones de teclas, pares de inicio de sesión y contraseñas y otras credenciales, así como datos de sesiones abiertas en aplicaciones web.

El equipo de investigación de seguridad de Varonis respondió a varios casos de infecciones por Qbot en 2019, principalmente en los Estados Unidos. Parece que los desarrolladores de Qbot no estaban inactivos: crearon nuevas cepas con una nueva funcionalidad, mejorando simultáneamente la capacidad de evitar la detección por parte de los equipos responsables de la seguridad de la información.

Describimos una cepa anterior de Qbot y discutimos su TTP (tácticas, técnicas y procedimientos). La nueva variedad difiere de la anterior en dos detalles principales:

en lugar de tratar de adivinar las contraseñas de un usuario de dominio, esta variedad utiliza un usuario ya comprometido para construir un mapa de carpetas de red disponibles;
envía los datos de la víctima al servidor FTP, en lugar de utilizar solicitudes HTTP POST.

Detección

Uno de nuestros clientes solicitó ayuda después de una notificación de la plataforma de seguridad cibernética Varonis de que la cuenta de usuario se comporta de forma atípica y proporciona acceso a un número inusual de nodos de red. Luego, el cliente llamó la atención sobre los registros de la solución antivirus en el dispositivo desde el cual se realizó este acceso, y notó alertas no procesadas sobre el archivo infectado que apareció aproximadamente al mismo tiempo.

Los archivos sin formato estaban en la carpeta temporal del perfil de usuario y tenían las extensiones .vbs y .zip .

El equipo forense de Varonis ayudó al usuario a recuperar muestras de los archivos infectados, y el equipo de investigación de seguridad analizó y descubrió que se trataba de una nueva variación de Qbot .

Como trabaja

Lanzamos el archivo infectado en nuestro laboratorio y encontramos indicadores similares de que era malicioso con los de nuestro estudio anterior : implementación del proceso "explorer.exe", conexión a la misma URL, los mismos mecanismos para garantizar una presencia constante en el registro y en disco y la misma copia de reemplazo del archivo con "calc.exe".
Esta variedad contenía un archivo de configuración cifrado, con la extensión incorrecta ".dll". Utilizando un análisis dinámico del proceso explorer.exe, descubrimos que la clave para descifrar el archivo de configuración RC4 cifrado es el hash SHA1 de la cadena única que crea el malware para cada dispositivo (sabemos que este no es un conjunto de caracteres aleatorio, como creó la variación Qbot anterior misma línea para el mismo dispositivo).

Aquí están los datos de configuración que decodificamos para nuestro dispositivo:

Esta configuración contiene los siguientes datos:

tiempo de instalación;
hora de la última llamada desde C2;
IP externa de la víctima;
lista de carpetas de red rodeadas por la víctima.

Fase I: cargador de arranque

Nombres de archivo: JVC_82633.vbs
SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9
Al igual que la versión anterior, esta variación de Qbot utilizó el archivo VBS para descargar los principales módulos maliciosos.

Fase II: asegurar una presencia constante en el sistema e implementación en procesos

Al igual que la muestra anterior, el gestor de arranque lanza los módulos del núcleo del malware y garantiza la constancia de su presencia en el sistema operativo. Esta versión se copia en
% Appdata% \ Roaming \ Microsoft \ {Línea arbitraria} en lugar de% Appdata% \ Roaming \ {Línea arbitraria}, pero los valores de las claves de registro y las tareas programadas permanecieron idénticas.

La carga útil principal está integrada en todos los procesos activos que se ejecutan en nombre del usuario.

Fase III: Robo de datos: ruta al servidor hacker

Después de garantizar la presencia en el sistema, el malware intenta conectarse a su servidor C2 utilizando el URI content.bigflimz.com. Esta versión recopila datos que son importantes para sus propósitos desde la computadora de la víctima y los envía a través de FTP utilizando un nombre de usuario y contraseña codificados.

Este servidor contenía datos cifrados recopilados de las víctimas, con el siguiente principio de denominación: "artic1e- * 6 caracteres y después de ellos otros 6 dígitos * - * POSIX-time * .zip".

Abrimos el servidor FTP especificado y encontramos esta carpeta con el siguiente contenido:

Todavía no hemos podido descifrar los archivos zip para determinar qué datos han sido robados.

Recuperación y recuperación

Como solo encontramos un dispositivo infectado, nuestras recomendaciones fueron:

, , ;
, , IP-, ;
Varonis, .