This post is also available in: Português
O grupo de ransomware Black Basta se uniu ao QBot para obter acesso inicial a ambientes corporativos. Além disso, a Follina, uma vulnerabilidade crítica de dia zero do Windows, está sendo explorada ativamente em ataques de phishing em andamento para infectar destinatários com o malware QBot.
O que é o QBot?
QBot (também conhecido como QakBot, QuakBot e PinkslipBot) é um trojan bancário modular do Windows, que possui recursos de worming para infectar mais dispositivos em redes comprometidas por meio de explorações de compartilhamento de rede e ataques de força bruta altamente agressivos contra contas de administrador do Active Directory.
Esse malware ladrão de informações tem sido usado desde, pelo menos, 2007 para coletar credenciais bancárias, informações pessoais e dados financeiros, bem como para backdoor de computadores comprometidos e implantar sinalizadores Cobalt Strike.
As afiliadas de ransomware vinculadas a várias operações de RaaS também usaram o QBot para acesso inicial a redes corporativas.
Em dezembro, a Microsoft publicou um relatório sobre a versatilidade dos ataque do QBot, que dificultou a avaliação precisa do escopo de suas infecções.
Já em fevereiro, o relatório DFIR falou sobre o quão rápido são os ataques do QBot. O malware é capaz de roubar dados confidenciais do usuário (incluindo credenciais e e-mails do Windows) em aproximadamente 30 minutos após a infecção inicial.
A parceria QBot e Black Basta
Os pesquisadores do NCC Group relataram sobre a parceria em andamento entre os operadores do QBot e do grupo Black Basta na recente resposta a incidentes. Eles também identificaram alguns novos TTPs usados para esse ataque.
O QBot geralmente é usado para acesso inicial, no entanto, o Black Basta o usou para se espalhar lateralmente dentro da rede da vítima.
O malware cria remotamente um serviço temporário de host e o configura para executar sua DLL usando regsvr32[.]exe. Uma vez configurado, o QBot pode infectar compartilhamentos e unidades de rede, contas do AD de força bruta ou usar o SMB para criar cópias de si mesmo ou espalhar por meio de compartilhamentos de administrador padrão usando as credenciais atuais do usuário.
Os invasores desabilitam o Windows Defender para evitar a detecção e para limitar as chances de interromper o processo de criptografia. Eles executam comandos do PowerShell para criar um GPO em um controlador de domínio comprometido, que faz alterações no registro do Windows.
A parceria entre Black Basta e QBot parece estar funcionando bem para eles. Porém, o QBot ainda é propagado por e-mails maliciosos, os usuários devem ficar alertas ao abrir anexos de usuários desconhecidos. Além disso, as organizações devem investir em segurança digital e treinamento dos colaboradores para melhor proteção.
Exploração da falha crítica Follina
A vulnerabilidade do Windows ainda está aguardando uma correção oficial da Microsoft. E enquanto a correção não chega, os cibercriminosos continuam explorando-a ativamente.
Na terça-feira, 07, a empresa de segurança Proofpoint compartilhou informações sobre a afiliada TA570 QBot ter começado a usar documentos maliciosos .docx do Microsoft Office para abusar da Follina (CVE-2022-30190) e infectar destinatários com o QBot.
Seu modus operandi funciona da seguinte maneira: os invasores usam mensagens de e-mail sequestradas com anexos HTML que baixam arquivos ZIP contendo arquivos IMG. Dentro do IMG, os alvos encontrarão arquivos DLL, Word e atalhos.
Enquanto o arquivo de atalho carrega diretamente o arquivo DLL do QBot já presente na imagem de disco IMG, o documento .docx em branco chegará a um servidor externo para carregar um arquivo HTML que explora a falha do Follina para executar o código do PowerShell, que baixa e executa uma carga útil da DLL do QBot.
Cargas úteis de phishing do Qbot. Fonte: BleepingComputer
O GitHub disponibiliza uma coleção de indicadores de comprometimento vinculados a essa campanha pelo analista de malware ExecuteMalware.
Soluções de segurança
A recente exploração da Follina mostra como os cibercriminosos estão desesperados para tirar proveito de uma falha de dia zero cujo patch é aguardado. Porém, a CISA sugere desabilitar o protocolo MSDT e usar patches não oficiais lançados por 0patch.
Em vez de desabilitar o manipulador de protocolo de URL MSDT (conforme recomendado pela Microsoft), 0patch adicionou sanitização do caminho fornecido pelo usuário (atualmente ausente no script do Windows) para evitar tornar o assistente de diagnóstico do Windows inoperante no sistema operacional para todos os aplicativos.
We've analyzed CVE-2022-30190 "Follina" vulnerability and found a good place to inject our patch. The patch will not completely disable MSDT protocol handler but just add sanitization of user-provided path that is currently missing in the Windows script. ETA: tomorrow.
— 0patch (@0patch) May 31, 2022
This post is also available in: Português
