El ransomware ProLock usa el nuevo troyano bancario QakBot


QakBot es un troyano bancario que ha sido considerado como la actualización del troyano bancario conocido como QBot. QBot fue detectado en 2009, y diez años después, a principios de 2019, investigadores de Varonis encontraron una nueva variante del malware que es actualmente conocido como QakBot.

Este troyano bancario incluye funcionalidad para registrar las pulsaciones de teclas, lo que le permite el robo de credenciales para su posterior uso en la realización del fraude.

Además del registro de pulsaciones, también permite instalar ‘hooks’ en los procesos de los navegadores, que se utiliza para interceptar las comunicaciones realizadas entre el navegar y el servidor web de la entidad bancaria, pudiendo así robar credenciales y sesiones de sus víctimas.

Este troyano bancario se ha convertido recientemente en noticia, pero no se debe a su funcionalidad de troyano bancario, sino a que los desarrolladores del ransomware ProLock han utilizado éste troyano para infectar toda su botnet de infectados.

Como ya ha ocurrido con otros troyanos bancarios reconvertidos a ‘dropper’ de otro tipo de malware (generalmente ransomware), como es el caso de Emotet o TrickBot, QakBot parece que inicia su conversión a ‘dropper’.

 

QakBot como troyano bancario

El funcionamiento de QakBot como troyano bancario es el habitual en este tipo de malware. Los atacantes buscan el robo de credenciales a través del registro de las pulsaciones de teclas (keylogger). Aunque no es la única estrategia utilizada para lograr el robo final de dinero.

Además de la funcionalidad de ‘keylogger’, este troyano también es capaz de inyectar su propio código en los navegadores utilizados por los usuarios para, a través de ‘hooks’, interceptar las comunicaciones del navegador con los servidores de las entidades bancarias. Esto permite al malware obtener credenciales de acceso y sesiones iniciadas.

Para evitar la detección por parte del usuario, éste utiliza la inyección de código malicioso en otros procesos además del navegador para el robo de credenciales.

Concretamente, las muestras de QakBot suelen lanzar un nuevo proceso del explorador de Windows (explorer.exe), en el que se inyecta el código malicioso principal, encargado de realizar las primeras comunicaciones con el servidor de control y, posteriormente, las inyecciones necesarias en los navegadores para el robo de credenciales.

Ramsonware-ProLock-Trojan-QakBot-01

Ejecución de un nuevo proceso ‘explorer.exe’ con código malicioso


En cuanto a la distribución de este troyano, sus autores utilizan correos electrónicos fraudulentos, en los que se incluyen documentos adjuntos.

Dichos documentos vienen preparados con macros maliciosas que son ejecutadas al abrir dichos documentos en Microsoft Office. Estas macros permiten descargar el payload final del malware desde su servidor de control y ejecutarlo, dando lugar a la instalación en la carpeta %APPDATA% del equipo infectado.

Ramsonware-ProLock-Trojan-QakBot-02

Instalación en %APPDATA%


Para lograr la persistencia e iniciar el malware en cada inicio del equipo, QakBot utiliza la clave ‘Run’ del registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run):


Ramsonware-ProLock-Trojan-QakBot-03


Persistencia en la clave ‘Run’ del registro

QakBot como ‘dropper’ de ProLock

Además de ser un troyano bancario, parece que los autores de ProLock están usando este malware para infectar con ransomware los equipos ya infectados con QakBot.

En las últimas infecciones de este ransomware sus desarrolladores no solamente se están apoyando en el ‘banker’, también están infectando ordenadores con una configuración poco segura y/o contraseñas débiles de Remote Desktop Protocol (RDP).
 
Los desarrolladores de este ransomware han utilizado la red de ordenadores infectados con QakBot para infectar a sus víctimas.


Como rescate por los ficheros cifrados, ProLock pide un pago total de 35 Bitcoins, que al cambio serían unos 312.000 dólares.


Ramsonware-ProLock-Trojan-QakBot-04

Nota de rescate de ProLock

Conclusiones

QakBot y ProLock son un ejemplo más de que los desarrolladores de malware van interesándose poco a poco por el desarrollo de ransomware, y es que, hoy en día es uno de los tipos de malware que parece obtener mayores beneficios con el menor esfuerzo.
 
El desarrollo de un troyano bancario para el robo de credenciales y dinero requiere una habilidades técnicas mínimas para cometer el fraude con éxito. Es necesario utilizar técnicas relativamente complejas, como la inyección de código en otros procesos (por ejemplo navegadores). Además, las medidas de seguridad a día de hoy dificultan el fraude, ya que es necesario autorizar las transacciones con códigos de un solo uso que llegan al móvil (2FA).
 
En cambio, desarrollar un ransomware es tan sencillo como desarrollar un software que cifre ficheros. Tras el cifrado, solamente hace falta pedir una cantidad de dinero al usuario y esperar a recibirla.
 
La lucha contra el malware bancario sigue y seguirá durante mucho tiempo, y debemos estar preparados para detectar este tipo de malware y neutralizarlo, protegiendo a nuestros usuarios.

Sin embargo, los esquemas de fraude van cambiando al mismo tiempo que se descubren nuevas formas de obtener el mayor beneficio con el menor esfuerzo.

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo