Un malware que intenta robar información de contraseñas de personas en dispositivos Windows ha encontrado una nueva forma de pasar desapercibido.
Qakbot, o Qbot, ha afectado a las empresas desde 2008. Este malware, que se propaga como un gusano, intenta robar las contraseñas y la información financiera de las empresas. El objetivo del virus son los sistemas operativos Microsoft Windows. El software, que trata de encontrar transiciones en estos sistemas, tiene como objetivo acceder a las contraseñas sin ser atrapado.
El Qakbot ahora ha sido relanzado, impulsado por un nuevo mecanismo duradero. Se ha vuelto más difícil para las víctimas darse cuenta y eliminar este software. La nueva técnica de encubrimiento fue descubierta por investigadores de ciberseguridad en Cisco Talos.
Las personas afectadas por este malware suelen ser aquellas que abren un archivo sin cuidado. El programa, que venía con este primer paquete llamado Dropper y se instaló con éxito, descarga un JavaScript de los dominios controlados por la persona que envió el software en una fecha determinada.
Las demandas creadas por tales movimientos (datos de llamadas desde un centro) aumentaron en abril de 2019. Esto indica que Qakbot está de vuelta en acción.
El nuevo descargador utiliza el mismo identificador uniforme de recursos pirateado y descarga JavaScript con cifrado XOR de extremo a extremo para ocultar el malware.
Además, gracias al nuevo sistema, Qakbot viene en dos partes y solo se fusiona después de una descarga exitosa. Esto hace que sea aún más difícil para el software antivirus encontrar Qakbot. La investigadora de seguridad de Cisco Talos, Ashlee Benge, dice que su software de detección se enfoca en ver la transmisión completa, y es posible que se pierdan la versión actual de Qakbot. Algunos programas de seguridad no pueden interferir con esta aplicación debido a la nueva estructura del programa, que está muy bien cuidada.
Los investigadores también revelaron las direcciones maliciosas utilizadas por Qakbot.
El paso más importante para protegerse de Qakbot es no permitir que el virus infecte la computadora al principio. Incluso si este software se elimina de la computadora, puede continuar causando daños.
Fuente: https://www.zdnet.com/article/this-password-stealing-malware-just-evolved-a-new-tactic-to-remain-hidden/
