O que é a família de malware Qbot?

O malware agora é tão comum que "famílias" inteiras de cada tipo estão sendo criadas. É o caso do Qbot, uma família de malware usada para roubar dados. Mas de onde veio o Qbot, quão perigoso é, e você pode ficar longe?

As Origens do Qbot

Como costuma acontecer com o malware, o Qbot (também conhecido como Qakbot, Quakbot ou Pinkslipbot) só foi descoberto quando encontrado na natureza. Em termos de segurança cibernética, "in the wild" refere-se a um cenário em que uma forma de malware se espalha entre os dispositivos visados ​​sem a permissão dos usuários. Acredita-se que o Qbot esteja em operação desde pelo menos 2007, tornando-o uma forma de malware consideravelmente mais antiga do que muitas variedades populares existentes atualmente.

Muitas formas de malware dos anos 2000 não estão mais em uso, simplesmente porque não são eficazes o suficiente para lidar com a tecnologia moderna. Mas o Qbot se destaca aqui. No momento da redação deste artigo, o Qbot está em operação há pelo menos 16 anos, uma vida útil impressionante para um programa de malware.

Desde 2007, Qbot tem sido repetidamente observado em uso na natureza, embora isso também seja interrompido por períodos de estagnação. De qualquer forma, ainda é uma opção popular entre os cibercriminosos.

O Qbot evoluiu ao longo dos anos e tem sido usado por vários hackers por vários motivos. O Qbot começou como um Trojan, um programa que fica oculto em aplicativos aparentemente inofensivos. Os cavalos de Tróia podem ser usados ​​para muitas finalidades maliciosas, incluindo roubo de dados e acesso remoto. Qbot, mais especificamente, vai atrás de credenciais bancárias. Por esse motivo, é considerado um Trojan bancário.

Mas ainda é assim? Como o Qbot opera hoje?

Como o Qbot funciona?

O Qbot visto hoje vem em muitas formas diferentes, mas é mais notavelmente um trojan infostealer. Como o nome sugere, os Trojans infostealer são projetados para roubar dados valiosos, como informações de pagamento, credenciais de login e detalhes de contato. Principalmente, esse tipo principal de malware Qbot é usado para roubar senhas.

Variantes do Qbot também foram observadas conduzindo keylogging, captura de processos e até mesmo sistemas de ataque via backdoors.

Desde sua criação nos anos 2000, o Qbot foi modificado para tem recursos backdoor, tornando-o muito mais uma ameaça. Um backdoor é essencialmente uma maneira não oficial de se infiltrar em um sistema ou rede. Os hackers costumam usar backdoors para realizar seus ataques, pois isso lhes dá uma maneira mais fácil de entrar. "Porta dos fundos. Qbot" é o nome dado a esta variante do Qbot.

Inicialmente, o Qbot se espalhou por meio do malware Emotet, outra forma de Trojan. Hoje em dia, o Qbot normalmente se espalha por meio de campanhas de e-mail maliciosas por meio de anexos. Essas campanhas envolvem o envio de grandes volumes de spam para centenas, ou mesmo milhares de destinatários, na esperança de que alguns dos usuários-alvo interajam.

Dentro de anexos de e-mail maliciosos, o Qbot tem sido comumente observado como um arquivo .zip contendo um conta-gotas XLS carregado de macros. Se um destinatário abrir um anexo malicioso, o malware poderá ser implantado em seu dispositivo, geralmente sem seu conhecimento.

O Qbot também pode se espalhar por meio de kits de exploração. Essas são ferramentas que ajudam os cibercriminosos na implantação de malware. Os kits de exploração podem destacar vulnerabilidades de segurança nos dispositivos e, em seguida, abusar dessas vulnerabilidades para obter acesso não autorizado.

Mas as coisas não param com o roubo de senhas e backdoors. Os operadores Qbot também desempenharam um papel importante como corretores de acesso inicial. Esses são cibercriminosos que vendem acesso ao sistema para outros agentes mal-intencionados. No caso dos atores Qbot, o acesso foi concedido a alguns grandes grupos, incluindo o REvil ransomware como serviço organização. Na verdade, vários afiliados de ransomware foram observados usando o Qbot para acesso inicial ao sistema, dando a esse malware outro propósito preocupante.

O Qbot apareceu em muitas campanhas maliciosas e é usado para atingir uma variedade de setores. Organizações de saúde, sites bancários, órgãos governamentais e empresas de manufatura foram alvo do Qbot. TrendMicro relatou em 2020 que 28,1% dos alvos do Qbot estão na área de saúde.

Outras oito indústrias, juntamente com inúmeras outras diversas, também se enquadram na faixa-alvo da Qbot, incluindo:

• Fabricação.
• Governos.
• Seguro.
• Educação.
• Tecnologia.
• Óleo e gás.
• Transporte.
• Varejo.

A TrendMicro também afirmou no mesmo relatório que a Tailândia, a China e os EUA tiveram os maiores números de detecção de Qbot em 2020. Outros locais comuns de detecção incluem Austrália, Alemanha e Japão, então o Qbot é evidentemente uma ameaça global.

O Qbot existe há tantos anos porque suas táticas de ataque e evasão evoluíram continuamente para acompanhar as medidas modernas de segurança cibernética. A diversidade do Qbot também o torna um grande perigo para as pessoas em todo o mundo, pois elas podem ser atacadas de várias maneiras usando este programa.

Como evitar Qbot Malware

É virtualmente impossível evitar o malware 100% do tempo. Mesmo o melhor programa antivírus não pode protegê-lo de ataques indefinidamente. Mas ter um software antivírus instalado em seu dispositivo desempenhará um papel crucial para mantê-lo protegido contra malware. Este deve ser considerado o primeiro passo quando se trata de segurança cibernética. Então o que vem depois?

Como o Qbot geralmente se espalha por meio de campanhas de spam, é importante que você esteja ciente dos indicadores de e-mail malicioso.

Existem inúmeras bandeiras vermelhas que podem expor um e-mail como malicioso, começando com o conteúdo. Se um novo endereço lhe enviou um e-mail contendo um link ou anexo, é aconselhável ficar longe até ter certeza de que ele é confiável. Existem vários sites de verificação de links você pode usar para verificar a legitimidade de um URL para saber se é seguro clicar nele.

Os anexos podem ser tão perigosos quanto os links quando se trata de infecção por malware, então você precisa ter cuidado com eles ao receber e-mails.

Existem certas extensões de arquivo de anexo que tendem a ser usadas para espalhar malware, incluindo .pdf, .exe, .doc, .xls e .scr. Embora essas não sejam as únicas extensões de arquivo usadas para infecção por malware, elas estão entre os tipos mais comuns, portanto, fique atento a elas quando receber arquivos anexados em seus e-mails.

Se você já recebeu um e-mail de um novo remetente que contém um senso de urgência, você também deve estar atento. Os cibercriminosos tendem a usar linguagem persuasiva em suas comunicações para forçar as vítimas a obedecer.

Por exemplo, você pode receber um e-mail informando que uma de suas contas de mídia social foi bloqueada devido a repetidas tentativas de login. O e-mail pode receber um link no qual você precisa clicar para entrar em sua conta e desbloqueá-la, mas, em realidade, este é um site malicioso projetado para roubar os dados que você insere (neste caso, seu login credenciais). Portanto, se você receber um e-mail particularmente persuasivo, considere se está sendo manipulado para obedecer, pois essa é uma possibilidade muito real.

Qbot é uma das principais formas de malware

Aumentar a versatilidade de um programa de malware quase sempre o torna uma ameaça maior e, com o passar do tempo, a diversificação do Qbot o tornou uma força perigosa. Essa forma de malware pode continuar evoluindo com o tempo, e realmente não há como saber quais recursos serão adaptados a seguir.