Los responsables detrás del malware Qbot están utilizando una nueva estrategia para distribuirlo. La compañía de ciberseguridad Proxylife han descubierto que ahora su software malicioso trata de suplantar a la calculadora de Windows sin que sus víctimas se den cuenta para obtener el control de sus equipos.
QBot, también conocido como Qakbot, ya lleva un tiempo entre nosotros. Ya desde 2009, se tiene constancia de su existencia, pero, a pesar de su longevidad, los actores de amenazas siguen confiando en él como una fuente de ingresos. Dicho malware les suele servir a estos piratas informáticos en las primeras fases de un ataque de ransomware. Concretamente, lo utilizan para colocar balizas Cobalt Strike en los equipos de sus víctimas, lo que les permite acceder de forma remota a estos.
Los métodos empleados por los ciberdelincuentes cada vez son más sofisticados, pero eso no implica que su malware necesariamente lo sea. Como hemos mencionado, QBot ha estado haciendo de las suyas desde hace más de una década y continúa haciéndolo. En esos años, su funcionamiento no ha cambiado demasiado, sin embargo, lo que si ha variado son las tácticas para distribuirlo, especialmente, en lo referente a las técnicas de ingeniería social empleadas para engañar a los usuarios.
Los usuarios de Windows 7 son los que más riesgo corren
Un empleado de Proxylife reveló uno de estos nuevos procedimientos utilizados por QBot para infectar equipos desde al menos el 11 de julio: usurpar a la calculadora de Windows. Esto es posible gracias a la denominada carga lateral (sideloading) de archivos DLL, que trata de explotar el funcionamiento de estas bibliotecas de enlace dinámico presentes en el sistema operativo.
#Qakbot – obama201 – html > .zip > .iso > .lnk > calc.exe > .dll > .dll
T1574 – DLL Search Order Hijacking
cmd.exe /q /c calc.exe
regsvr32 /s C:UsersUserAppDataLocalTempWindowsCodecs.dll
regsvr32.exe 7533.dllhttps://t.co/8EI63li9ol
IOC'shttps://t.co/BYhFkccqky pic.twitter.com/PEkfEzLxYv
— proxylife (@pr0xylife) July 14, 2022
Para ello, tratan de sustituir un archivo legítimo con otro malicioso, poniéndole el mismo nombre. De esta forma, cuando el usuario abre, en este caso la calculadora, lo que en realidad ejecuta Windows es el malware, algo que, posteriormente, les proporciona a los ciberdelincuentes acceso a los ordenadores de sus víctimas.
Afortunadamente, este método no funciona de Windows 10 en adelante. Los investigadores han explicado que los usuarios de Windows 7 son el principal objetivo de los responsables detrás de QBot, ya que la calculadora de esta versión si les permite colocar la carga útil del malware en su lugar.
Además de la advertencia de Proxylife, Cyble, otra compañía de ciberseguridad, analizó en profundidad este nuevo modus operandi de los actores de amenazas. Aparentemente, el correo electrónico es la vía de entrada más común, por lo que todo suele comenzar con campañas de phishing y tácticas de ingeniería social.
Se aprovechan de una vulnerabilidad de Windows 7
Dichos correos fraudulentos contienen un archivo HTML adjunto que descarga otro fichero ZIP que incluye una imagen ISO protegida con contraseña con el fin de evitar su detección por parte del antivirus. La clave para desbloquear el archivo se incluye en el texto del mensaje, pero introducirla tendrá terribles consecuencias.
Al montar dicha imagen, el usuario se encontrará con cuatro archivos distintos: uno con extensión .LNK, otros dos con formato .DLL (“Windowscodecs.dll” y “7533.dll”) y otro llamado “calc.exe”, que es una copia legítima de la calculadora de Windows.
El principal problema reside en el archivo de extensión .LNK, que se muestra como si fuera un PDF con el nombre “Report jul 14 47787”, por lo que el usuario puede pensar que se trata de información personal o profesional importante. Sin embargo, nada más lejos de la realidad.
Los investigadores han descubierto que al pulsar sobre la opción “Propiedades” del archivo en cuestión, se revela su auténtica identidad: un fichero ejecutable llamado “c calc.exe”. Si se abre, accede a la calculadora a través del símbolo del sistema, lo que desencadena la infección del equipo.
Y es que, para funcionar, la calculadora necesita encontrar un archivo DLL. En este caso, se trata de “Windowscodecs.dll”, un archivo legítimo que comparte el mismo nombre con uno de los archivos incluidos en la imagen antes descrita.
Sin embargo, la calculadora no busca este archivo en una ruta específica, sino que se limita a elegir aquel que aparezca en la misma ubicación que contenga un “calc.exe”, por lo que, en realidad, accederá al “Windowscodecs.dll” malicioso que, a su vez, abrirá el archivo “7533.dll”, que es el que contiene el malware QBot.
Una vez que el incauto haya caído en la trampa, los ciberdelincuentes tendrán acceso a su ordenador, lo que supone el primer paso para realizar sus operaciones de ransomware. Sin duda, se trata de una estrategia bastante rastrera, pero hay que reconocer que el ingenio de los actores de amenazas cada vez es más sorprendente.
Imagen de 200degrees en Pixabay