Esta publicación de blog fue escrita por Jérôme Segura y Hossein Jazi.
Las elecciones estadounidenses de 2020 han sido objeto de un intenso escrutinio y emociones, mientras ocurrían en medio de una pandemia global. Cuando terminó la noche de las elecciones y comenzó a surgir la incertidumbre sobre los resultados, los actores de amenazas decidieron intervenir también.
Quienes rastrean el panorama de las amenazas saben muy bien que los principales eventos mundiales no pasan desapercibidos para los delincuentes. En este caso, comenzamos a observar una nueva campaña de spam que entrega archivos adjuntos maliciosos que aprovechan las dudas sobre el proceso electoral.
Los operadores del troyano bancario QBot regresan con otra ola de spam temático utilizando la misma técnica de hilo de correo electrónico secuestrado que atrae a las víctimas con archivos adjuntos maliciosos de interferencia electoral.
Hilos de correo electrónico secuestrados que empujan documentos DocuSign falsos
Los correos electrónicos maliciosos vienen como respuestas de hilo, similar a lo que hace Emotet para agregar legitimidad y dificultar la detección. Contienen archivos zip que se denominan acertadamente ElectionInterference_ [8 a 9 dígitos] .zip.
Si bien los resultados de las elecciones aún se están evaluando y debatiendo, se tienta a las víctimas a abrir el documento para leer sobre la supuesta interferencia electoral:
El archivo extraído es una hoja de cálculo de Excel que se ha elaborado como si fuera un archivo DocuSign seguro. Se engaña a los usuarios para que permitan macros con el fin de «descifrar» el documento.
Este truco probado y comprobado descargará una carga útil maliciosa en la máquina de la víctima. La URL de esa carga útil está codificada en una celda de una hoja con nombre cirílico «Лист3».
Una vez ejecutado, el troyano QBot se pondrá en contacto con su servidor de comando y control y solicitará instrucciones. Además de robar y exfiltrar datos de sus víctimas, QBot también comenzará a capturar correos electrónicos que luego se utilizarán como parte de las próximas campañas de malspam.
Los eventos mundiales son el mejor señuelo
En el centro de los ataques de malware que presenciamos cada día se encuentran los típicos esquemas de ingeniería social. Los actores de amenazas necesitan lograr que las víctimas realicen un cierto conjunto de acciones para comprometerlas.
Las campañas de spam abusan habitualmente de las notificaciones de entrega de correo electrónico (Fedex, DHL, etc.) o de las alertas bancarias para disfrazar cargas maliciosas. Pero los acontecimientos mundiales como la pandemia de Covid o las elecciones estadounidenses proporcionan el material ideal para elaborar planes eficaces que dan como resultado altas tasas de infección.
Los usuarios de Malwarebytes ya estaban protegidos contra este ataque gracias a nuestra tecnología Anti-Exploit. Además, detectamos la carga útil como Backdoor.Qbot.
Indicadores de compromiso
Documentos de Excel maliciosos
b500a3c769e22535dfc0c0f2383b7b4fbb5eb52097f001814d8219ecbb3048a1 f2fb3e7d69bf1b8c0c20484e94b20be33723b4715e7cf94c5cbb120b800328da 0282a796dec675f556a0bf888eda0fe84f63558afc96321709a298d7a0a4f8e5 e800b0d95e02e6e46a05433a9531d7fb900a45af7999a262c3c147ac23cd4c10 7dec31d782ab776bcbb51bd64cbbd40039805ad94733d644a23d5cf16f85552c 0bec208127e4a021dccb499131ea91062386126b75d098947134a37e41c4b035 30de8dcd4e894549d6d16edb181dd1a7abec8f001c478cf73baf6075756dc8c2 a8329913c8bbccb86b207e5a851f7696b1e8a120929ca5c0a5709bd779babedf ef8a17c3bb01d58bfea74a19f6cb8573cfb2d94d9e6159709ac15a7e0860dbce 7ddc225ad0ed91ce90b3bde296c5ce0b4649447fb3f02188e5303e22dc7cb5f0
QBot
china [.] asiaspain [.] com / tertgev / 1247015.png
1edfe375fafa1f941dc4ee30702f4af31ba636e4b639bcbb90a1d793b5d4b06c 06be75b2f3207de93389e090afd899f392da2e0f1c6e02226db65c61f291b81b
QBot C2s
142.129.227 [.] 86 95.77.144 [.] 238
Técnicas MITRE ATT & CK
Táctica | CARNÉ DE IDENTIDAD | Nombre | Detalles |
Ejecución | T1059 | Interfaz de línea de comandos | Inicia CMD.EXE para la ejecución de comandos |
T1106 | Ejecución a través de API | La aplicación se lanzó sola | |
T1053 | Tarea programada | Carga la API COM del Programador de tareas | |
Persistencia | T1050 | Nuevo servicio | Ejecutado como servicio de Windows |
T1060 | Llaves de ejecución del registro / carpeta de inicio | Cambia el valor de ejecución automática en el registro. | |
T1053 | Tarea programada | Carga la API COM del Programador de tareas | |
Escalada de privilegios | T1050 | Nuevo servicio | Ejecutado como servicio de Windows |
T1055 | Inyección de proceso | La aplicación fue inyectada por otro proceso | |
T1053 | Tarea programada | Carga la API COM del Programador de tareas | |
Evasión de defensa | T1553 | Instalar certificado raíz | Cambia la configuración de los certificados del sistema |
T1055 | Inyección de proceso | La aplicación fue inyectada por otro proceso | |
Descubrimiento | T1087 | Descubrimiento de cuenta | Inicia NET.EXE para ver / cambiar el grupo de usuarios |
T1135 | Descubrimiento de recursos compartidos de red | Inicia NET.EXE para la exploración de redes | |
T1069 | Descubrimiento de grupos de permisos | Inicia NET.EXE para ver / cambiar el grupo de usuarios | |
T1012 | Registro de consultas | Lee el GUID de la máquina del registro | |
T1018 | Descubrimiento de sistema remoto | Inicia NET.EXE para la exploración de redes | |
T1082 | Descubrimiento de información del sistema | Lee el GUID de la máquina del registro | |
T1016 | Descubrimiento de la configuración de la red del sistema | Utiliza IPCONFIG.EXE para descubrir la dirección IP |
Sobre el autor