Esta publicación de blog fue escrita por Jérôme Segura y Hossein Jazi.

Las elecciones estadounidenses de 2020 han sido objeto de un intenso escrutinio y emociones, mientras ocurrían en medio de una pandemia global. Cuando terminó la noche de las elecciones y comenzó a surgir la incertidumbre sobre los resultados, los actores de amenazas decidieron intervenir también.

Quienes rastrean el panorama de las amenazas saben muy bien que los principales eventos mundiales no pasan desapercibidos para los delincuentes. En este caso, comenzamos a observar una nueva campaña de spam que entrega archivos adjuntos maliciosos que aprovechan las dudas sobre el proceso electoral.

Los operadores del troyano bancario QBot regresan con otra ola de spam temático utilizando la misma técnica de hilo de correo electrónico secuestrado que atrae a las víctimas con archivos adjuntos maliciosos de interferencia electoral.

Hilos de correo electrónico secuestrados que empujan documentos DocuSign falsos

Los correos electrónicos maliciosos vienen como respuestas de hilo, similar a lo que hace Emotet para agregar legitimidad y dificultar la detección. Contienen archivos zip que se denominan acertadamente ElectionInterference_ [8 a 9 dígitos] .zip.

Si bien los resultados de las elecciones aún se están evaluando y debatiendo, se tienta a las víctimas a abrir el documento para leer sobre la supuesta interferencia electoral:

El archivo extraído es una hoja de cálculo de Excel que se ha elaborado como si fuera un archivo DocuSign seguro. Se engaña a los usuarios para que permitan macros con el fin de «descifrar» el documento.

Este truco probado y comprobado descargará una carga útil maliciosa en la máquina de la víctima. La URL de esa carga útil está codificada en una celda de una hoja con nombre cirílico «Лист3».

Una vez ejecutado, el troyano QBot se pondrá en contacto con su servidor de comando y control y solicitará instrucciones. Además de robar y exfiltrar datos de sus víctimas, QBot también comenzará a capturar correos electrónicos que luego se utilizarán como parte de las próximas campañas de malspam.

Los eventos mundiales son el mejor señuelo

En el centro de los ataques de malware que presenciamos cada día se encuentran los típicos esquemas de ingeniería social. Los actores de amenazas necesitan lograr que las víctimas realicen un cierto conjunto de acciones para comprometerlas.

Las campañas de spam abusan habitualmente de las notificaciones de entrega de correo electrónico (Fedex, DHL, etc.) o de las alertas bancarias para disfrazar cargas maliciosas. Pero los acontecimientos mundiales como la pandemia de Covid o las elecciones estadounidenses proporcionan el material ideal para elaborar planes eficaces que dan como resultado altas tasas de infección.

Los usuarios de Malwarebytes ya estaban protegidos contra este ataque gracias a nuestra tecnología Anti-Exploit. Además, detectamos la carga útil como Backdoor.Qbot.

Indicadores de compromiso

Documentos de Excel maliciosos

b500a3c769e22535dfc0c0f2383b7b4fbb5eb52097f001814d8219ecbb3048a1 
f2fb3e7d69bf1b8c0c20484e94b20be33723b4715e7cf94c5cbb120b800328da 
0282a796dec675f556a0bf888eda0fe84f63558afc96321709a298d7a0a4f8e5 
e800b0d95e02e6e46a05433a9531d7fb900a45af7999a262c3c147ac23cd4c10 
7dec31d782ab776bcbb51bd64cbbd40039805ad94733d644a23d5cf16f85552c 
0bec208127e4a021dccb499131ea91062386126b75d098947134a37e41c4b035 
30de8dcd4e894549d6d16edb181dd1a7abec8f001c478cf73baf6075756dc8c2 
a8329913c8bbccb86b207e5a851f7696b1e8a120929ca5c0a5709bd779babedf 
ef8a17c3bb01d58bfea74a19f6cb8573cfb2d94d9e6159709ac15a7e0860dbce 
7ddc225ad0ed91ce90b3bde296c5ce0b4649447fb3f02188e5303e22dc7cb5f0

QBot

china [.] asiaspain [.] com / tertgev / 1247015.png

1edfe375fafa1f941dc4ee30702f4af31ba636e4b639bcbb90a1d793b5d4b06c
06be75b2f3207de93389e090afd899f392da2e0f1c6e02226db65c61f291b81b

QBot C2s

142.129.227 [.] 86 
95.77.144 [.] 238

Técnicas MITRE ATT & CK