Los operadores de Qbot han vuelto a la carga y esta vez en instaladores Windows con malware. Su objetivo es infectar sistemas mediante la instalación de cargas útiles de malware en correos electrónicos. La táctica que Qbot usa ahora para infectar nuestros ordenadores es diferente a la que ha usado en diferentes sucesos de los últimos años.
Según han descubierto investigadores de ciberseguridad, y como lo han comunicado a Bleeping Computer, el malware llega a través de correos electrónicos de phishing que descargan documentos de Microsoft Office con archivos maliciosos en los dispositivos donde se instala.
La firma de Redmond había dicho en febrero que iba a hacer más difícil activar las macros VBA o Visual Basic para Aplicaciones de Microsoft Office. Esta herramienta de protección se puso en marcha este mes y, por tanto, creen los investigadores que el nuevo Qbot es una respuesta a este cambio.
En febrero ya publicamos cómo la compañía anunció nuevas medidas para dificultar la difusión de malware como deshabilitar de forma predeterminada las macros de Visual Basic para Aplicaciones (VBA) en documentos descargados de la web, una medida que afecta a todos sus productos, incluidos Word, Excel, PowerPoint, Access y Visio.
A finales de 2021, Microsoft afirmó haber descubierto muchas «macros maliciosas» en los documentos de Office (pertenecientes a las macros de Excel 4.0), que eran objetivo de atacantes. Para evadir los sistemas de detección de seguridad, los actores de la amenaza hacen uso de las macros de Excel 4.0. Sin embargo, para ejecutarlas correctamente, deberán activarlas manualmente, ya que Microsoft las desactivó por defecto. Gracias a esto, los esquemas de phishing generalizados han estado afectando a las aplicaciones de Office. La táctica también tiene el objetivo de evitar que los ciberdelincuentes se vean invadidos por diversos programas maliciosos como TrickBot, Emotet y Qbot, por nombrar algunos.
-Consejos para protegerte
Teniendo en cuenta que la nueva versión de Qbot llega en forma de phishing, debes llevar a cabo las recomendaciones básicas para evitar contagios de phishing. Teniendo en cuenta los esfuerzos de Microsoft por evitar este malware, debes mantener actualizada la última versión de Windows, bien sea la de Windows 10 que sigue manteniendo soporte, como de Windows 11.
También evita descargar archivos sin conocer realmente su origen o confirmar con quien te lo envía que realmente te ha enviado ese documento o enlace. La Oficina de Seguridad del Internatuta cuenta con un juego online para que los usuarios puedan identificar un ataque de tipo phishing para no caer en las trampas.
-Qbot apareció por primera vez en 2007
Qbot es un reconocido malware que atacó a Windows en 2007 por primera vez, que se sepa. Cuando se infiltra en el sistema, puede obtener acceso a información financiera del usuario, así como a algunos detalles confidenciales como la contraseña y la dirección de correo electrónico.
Un gran número de peligrosos grupos de ciberdelincuentes ya lo han utilizado, incluyendo REvil, MegaCortex, PwndLocker, ProLock y más bandas de ransomware.
En noviembre de 2021 hablábamos de que ataques que se aprovechan de campañas de phishing que logran secuestrar las respuestas a cadenas de emails internos, se están usando para hackear servidores de Microsoft Exchange a través de los exploits ProxyShell y ProxyLogon. Las campañas de este tipo se han detectado instalando troyanos como Qbot o incluso el famoso Emotet.