Los cibercriminales no dejan ni un minuto de respiro a los internautas. Un informe de la firma de seguridad Check Point ha descubierto la aparición de una nueva y peligrosa versión del conocido troyano Qbot, que es capaz de robar información y que se está extendiendo rápidamente, afectando tanto a empresas, como a usuarios. Este troyano fue identificado por primera vez en el año 2008 y su función principal consiste en recoger datos de navegación e información de carácter económico, incluidos los datos bancarios online.

Los investigadores descubrieron varias campañas que usaban la nueva cepa de Qbot entre marzo y agosto de 2020. En una de las campañas -dicen- estaba siendo distribuido por el troyano Emotet, un troyano bancario que puede robar datos espiando el tráfico de la red. La teoría es que empleaba nuevas técnicas de distribución de «malware» o código malicioso, así como una renovada infraestructura de comando y control. Esta campaña de distribución de Emotet tuvo un impacto en el 5% de las empresas de todo el mundo en julio de 2020.

Esta última versión de Qbot ha evolucionado para convertirse en una versión altamente estructurada y de múltiples capas, «ampliando sus capacidades», es capaz de conectarse al ordenador de la víctima para realizar transacciones bancarias desde su dirección IP. También está diseñado para secuestrar los correos electrónicos de los usuarios desde su cliente de Outlook y usar esos correos para intentar infectar los ordenadores de otros usuarios.

Los expertos señalan que la cadena de infección inicial comienza con el envío de correos especialmente elaborados para las empresas o individuos objetivo. Cada uno de los correos electrónicos contiene una dirección de correo de un archivo comprimido en formato ZIP con un archivo Visual Basic Script (VBS) malicioso que contiene código que puede ser ejecutado dentro de Windows.

Una vez que un equipo se infecta, Qbot activa el llamado módulo colector de correo electrónico que extrae todos los hilos de correo electrónico del Outlook de la víctima y los sube a un servidor remoto de código duro. Estos correos robados se utilizan más tarde para futuras campañas de «malware», facilitando el hecho de que los usuarios sean engañados para que hagan clic en los archivos adjuntos infectados, ya que el correo electrónico de spam parece proseguir con una conversación de correo electrónico legítima ya existente. Los investigadores han observado diferentes ejemplos de hilos de correo electrónico dirigidos y secuestrados con temas relacionados con Covid-19, recordatorios de pagar impuestos y contrataciones de trabajo.

«Los actores de la amenaza detrás de Qbot están invirtiendo fuertemente en su desarrollo para permitir el robo de datos a gran escala de empresas y particulares», señala en un comunicado Yaniv Balmas, jefe de Investigación de Check Point.

ABC.es, Qbot, el troyano que secuestra hilos de correo electrónico para robarte tus contraseñas. Recuperado de: https://www.abc.es/tecnologia/redes/abci-qbot-troyano-secuestra-hilos-correo-electronico-para-robarte-contrasenas-202008290117_noticia.html