Estudo revela como funciona uma das redes de malware mais antigas do mundo
Por Felipe Demartini • Editado por Claudio Yuge |
O segredo da permanência do Qbot como a rede de malware mais popular e antigas do mundo está em sua capacidade de adaptação. E foi com esse foco que a Microsoft divulgou na última semana uma análise sobre a praga, também conhecida como Qakbot ou QuakBot, e como os criminosos utilizam um sistema de “blocos” para tentar diferentes alternativas de comprometimento de redes para tarefas que envolvem, principalmente, o roubo de credenciais e a detonação de ataques de ransomware.
- Microsoft e Amazon sofrem falha perigosa com brecha para invasões preocupantes
- Aprenda a evitar malwares e vírus anexados a e-mails
Seja qual for o caminho, porém, tudo sempre começa com um e-mail. É por meio de mensagens fraudulentas que os bandidos conseguem a atenção e o clique necessários para o início da infecção; são links ou arquivos anexos que tentam simular negociações em andamento e usam domínios parecidos com os de possíveis parceiros ou contatos de negócios. Notas fiscais, comprovantes de compra ou de cobrança também são utilizados para esse fim.
São, entretanto, alternativas que podem ser capturadas por softwares de segurança, o que levou os criminosos a criarem alternativas que envolvem mensagens no corpo do e-mail, que levam a sites maliciosos, ou ao uso de informações vazadas. A partir de comprometimentos, os bandidos tentam falsificar identidades de e-mail para se inserirem em conversas em andamento, aumentando a possibilidade de sucesso na contaminação. Há, também, um cuidado com arquivos, com documentos em PDF ou do pacote Office sendo os preferidos no lugar de executáveis, também como forma de evadir detecção.
A partir daí, entra em cena o chamado funcionamento em blocos, com os ataques podendo seguir diferentes sequências que são intercambiáveis entre si. Depende, claro, do que cada criminoso deseja realizar na rede das vítimas, com os golpes podendo envolver desde tarefas de roubo de credenciais ou dados internos até a movimentação lateral e ataques de ransomware. Vale, também, tudo junto de uma vez, com os bandidos também utilizando diferentes maneiras de extrair as informações.
O foco do Qbot continua sendo o Windows, o que explica o interesse da Microsoft em mapear os ataques. Sua utilização por praticamente todos os grandes grupos internacionais de ransomware, incluindo REvil, Egregor e MegaCortex, também torna a rede de ataques de suma importância para administradores de rede, que precisam manter seus sistemas de monitoramento atentos a diferentes instâncias de ataque que podem acontecer ao mesmo tempo, mas a partir de vetores variados.
Para a Microsoft, conhecer todas as vias ofensivas e os principais mecanismos usados pelo Qbot para atacar é essencial para uma estratégia de defesa eficaz, que precisa levar em conta tanto o objetivo dos criminosos quanto o dispositivo usado para o alcançar. Em seu estudo, a empresa também traz indicativos de comprometimento e detalhes do funcionamento técnico dos ataques, de forma que as devidas medidas sejam tomadas pelos administradores de sistemas.
Fonte: Microsoft