Trojan bancário Qbot volta a ação, dispondo agora de novas funcionalidades, desenvolvidas ao longo dos anos e que ameaçam a segurança das empresas.
O trojan bancário Qbot, também conhecido por Qakbot ou Pinkslipbot, foi descoberto em 2008 e é conhecido por coligir dados de navegação e roubar credenciais bancárias, entre outras informações financeiras. Os investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, alertam para as novas funcionalidades que têm sido continuamente adicionadas ao Qbot ao longo dos anos. Estes novos ‘truques’ significam que, apesar da idade, o Qbot persiste enquanto ameaça à segurança das organizações.
Ao infetar um dispositivo, este malware é capaz de:
- Roubar informações pessoais, incluindo palavras-passe, e-mails, detalhes bancários, entre outros
- Instalar outros malwares no dispositivo, incluindo ransomware
- Permitir a conexão do cibercriminoso responsável pelo controlo do bot ao computador da vítima (mesmo quando a vítima tem sessão iniciada) para fazer transações bancárias a partir do seu endereço IP
- Tomar posse de contas de e-mail da vítima no sentido de infetar outros utilizadores, na sua rede de contactos
Entre março e finais de junho deste ano, registou-se uma campanha proeminente do malware Qbot. Os investigadores da Check Point concluíram que a sua interrupção advinha da pretensão dos cibercriminosos de implementar desenvolvimentos adicionais às funcionalidades do vírus, contudo, não se esperava que o malware voltasse à ação em tão pouco tempo.
Nos finais de julho, os investigadores da Check Point alertaram para o regresso de uma das mais perigosas ciberameaças da atualidade, o Emotet Trojan, responsável por disseminar várias campanhas de malspam, impactando 5% das organizações a nível global. Algumas destas campanhas incluíam a instalação de uma versão atualizada do Qbot nos computadores das vítimas. Uma amostra mais recente do Qbot, lançada a partir da última campanha de Emotet identificada, levando os investigadores da Check Point a descobrir uma infraestrutura de comando e controlo renovada, bem como novas técnicas de malware distribuídas por meio do processo de infeção do Emotet.
Recomeçando em Agosto, a campanha de malspam do Qbot disseminou-se globalmente, infetando novos alvos. Uma das suas capacidades mais recentes é particularmente nefasta: assim que um dispositivo seja infetado, é ativado um ‘módulo coletor de e-mails’ que extrai todas as conversações a decorrer da conta Outlook da vítima, guardando-as num servidor remoto. Estes e-mails roubados são posteriormente utilizados para futuras campanhas de malspam, fazendo com que seja mais fácil induzir os utilizadores a clicar em anexos infetados, uma vez que a pasta de spam continua intacta. Os investigadores da Check Point têm vindo a alertar para a utilização de vários temas atuais para difundir campanhas de e-mail maliciosas, como são exemplo falsas notícias relativas à Covid-19, lembretes de pagamento de impostos e propostas de emprego.
 |
| Figure 1 - Diagrama de cadeia de infeção |
Os investigadores da Check Point concluíram que a maioria dos seus ataques teve como alvo o setor militar, governo e indústria, sediados maioritariamente nos Estados Unidos e Europa, como demonstram os gráficos das figuras 2 e 3, respetivamente.
 |
| Figura 3 – Organizações atacadas por país |
 |
| Figura 2 – Organizações atacadas por setor |
O e-mail continua a ser uma das principais portas de entrada utilizadas pelos cibercriminosos para ameaçar a segurança das empresas – mais de 80% dos ataques que visam empresas têm ínicio num e-mail malicioso. Fechar esta brecha de segurança requer uma proteção otimizada contra múltiplos vetores: phishing, malware, roubo de dados e a apropriação de contas.
Neste sentido, a Check Point disponibiliza a CloudGuard SaaS, solução que proporciona às empresas uma proteção completa e que se adapta constantemente às frequentes alterações das ciberameaças, ao mesmo tempo que garante aos administradores uma plataforma de fácil gestão, reduzindo o TCO (Total Cost of Ownership) e reforçando a cibersegurança.
Post A Comment:
0 comments: