Troyanos bancarios en una envoltura comercial

Los spammers utilizan macros maliciosas para distribuir IcedID y Qbot Banking malware en documentos aparentemente importantes

2021-07-11

Julia Glazova

icedid-qbot-banking-trojans.png

Para los empleados que enfrentan cientos de correos electrónicos, la tentación de leer rápidamente y descargar archivos adjuntos en piloto automático puede ser grande.

Los ciberdelincuentes, por supuesto, se aprovechan y envían documentos aparentemente importantes que pueden contener casi cualquier cosa, desde enlaces de phishing hasta malware. 

Expertos descubrieron recientemente dos campañas de spam muy similares que distribuyen los troyanos bancarios IcedID y Qbot.

Spam con documentos maliciosos

Ambos correos electrónicos se disfrazaron de correspondencia comercial. En el primer caso, los atacantes exigieron una compensación por algún motivo falso o dijeron algo sobre la cancelación de una operación. Adjunto al mensaje había un archivo de Excel comprimido llamado CompensationClaim más una serie de números. El segundo envío de correo no deseado tenía que ver con pagos y contratos e incluía un enlace al sitio web pirateado donde se almacenaba el archivo que contenía el documento.

En ambos casos, el objetivo de los atacantes era persuadir al destinatario para que abriera el archivo de Excel malicioso y ejecutara la macro en él, descargando así IcedID o (con menos frecuencia) Qbot en la máquina de la víctima.

IcedID y Qbot

Los troyanos bancarios IcedID y Qbot han existido durante años, y IcedID llamó la atención de los investigadores por primera vez en 2017 y Qbot en servicio desde 2008. 

Además, los atacantes perfeccionan constantemente sus técnicas. Por ejemplo, en un momento ocultaron el componente principal de IcedID en una imagen PNG usando un truco llamado esteganografía que es bastante difícil de detectar.

En la actualidad, ambos programas de malware están disponibles en el mercado en la sombra; además de sus creadores, numerosos clientes distribuyen los troyanos. La principal tarea del malware es robar datos de tarjetas bancarias y credenciales de inicio de sesión para cuentas bancarias, preferiblemente cuentas comerciales (de ahí los correos electrónicos comerciales). Para lograr sus objetivos, los troyanos emplean varios métodos. Por ejemplo, pueden:

  • Inyectar una secuencia de comandos maliciosa en una página web para interceptar los datos ingresados ​​por el usuario;
  • Redirigir a los usuarios de banca en línea a una página de inicio de sesión falsa;
  • Robar datos guardados en el navegador.

Qbot también puede registrar pulsaciones de teclas para interceptar contraseñas.

Desafortunadamente, el robo de datos de pago no es el único problema que aguarda a las víctimas. Por ejemplo, IcedID puede descargar otro malware, incluido ransomware, en dispositivos infectados. Mientras tanto, los trucos de Qbot incluyen robar hilos de correo electrónico para usarlos en más campañas de spam y proporcionar a sus operadores acceso remoto a las computadoras de las víctimas. En las máquinas de trabajo en particular, las consecuencias pueden ser graves.

 

Cómo protegerse de los troyanos bancarios

  • No importa cuán astutos puedan ser los ciberdelincuentes, no es necesario que reinvente la rueda para mantenerse a salvo. Ambas campañas de spam en cuestión dependen de que los destinatarios tomen acciones arriesgadas: si no abren el archivo malicioso y dejan que ejecute la macro, el esquema simplemente no funcionará. Para reducir sus posibilidades de convertirse en víctima:
  • Verifique la identidad del remitente, incluido el nombre de dominio. Alguien que dice ser un contratista o un cliente corporativo pero que usa una dirección de Gmail, por ejemplo, puede ser sospechoso. Y si simplemente no sabe quién es el remitente, consulte con sus colegas;
  • Prohíba las macros de forma predeterminada y trate los documentos que requieran que habilite macros u otro contenido con sospecha. Nunca ejecute una macro a menos que esté absolutamente seguro de que el archivo la necesita y es seguro;
  • Instale una solución de seguridad confiable. Si trabaja con un dispositivo personal o su empleador es poco estricto en lo que respecta a la protección de la estación de trabajo, asegúrese de que esté protegido. Nuestros productos detectan tanto IcedID como Qbot.

FUENTE: kaspersky.com

Derechos Reservados © La Capital 2021