Los cibercriminales no dejan ni un minuto de respiro a los internautas. En momentos tan delicados como los actuales, en donde millones de personas viven con incertidumbre su futuro laboral, se suele bajar la guardia a la hora de procesar las informaciones que se recibe en sus correos electrónicos. Y de eso se aprovechan para llevar a cabo sus ciberataques. El último es una variedad de un troyano bancario muy conocido que ha hecho estragos a entidades bancarias este año.


Un informe de la firma de seguridad Check Point ha descubierto la aparición de una nueva y peligrosa versión del conocido troyano Qbot, que es capaz de robar información y que se está extendiendo rápidamente, afectando tanto a empresas, como a usuarios. Este troyano fue identificado por primera vez en el año 2008 y su función principal consiste en recoger datos de navegación e información de carácter económico, incluidos los datos bancarios online.

Los investigadores descubrieron varias campañas que usaban la nueva cepa de Qbot entre marzo y agosto de 2020. En una de las campañas -dicen- estaba siendo distribuido por el troyano Emotet, un troyano bancario que puede robar datos espiando el tráfico de la red. La teoría es que empleaba nuevas técnicas de distribución de «malware» o código malicioso, así como una renovada infraestructura de comando y control. Esta campaña de distribución de Emotet tuvo un impacto en el 5% de las empresas de todo el mundo en julio de 2020.


Esta última versión de Qbot ha evolucionado para convertirse en una versión altamente estructurada y de múltiples capas, «ampliando sus capacidades», insisten fuentes de la empresa de seguridad. De acuerdo con los investigadores, este troyano que roba información se ha convertido en el equivalente a la «navaja suiza» del «malware» y es capaz de robar información de los equipos infectados, incluyendo contraseñas, correos electrónicos, números de tarjetas de crédito y más.

Los expertos explican que es capaz de conectarse al ordenador de la víctima (incluso cuando la víctima está conectada) para realizar transacciones bancarias desde su dirección IP. También está diseñado para secuestrar los correos electrónicos de los usuarios desde su cliente de Outlook y usar esos correos para intentar infectar los ordenadores de otros usuarios.


¿Cómo funciona? Los expertos señalan que la cadena de infección inicial comienza con el envío de correos especialmente elaborados para las empresas o individuos objetivo. Cada uno de los correos electrónicos contiene una dirección de correo de un archivo comprimido en formato ZIP con un archivo Visual Basic Script (VBS) malicioso que contiene código que puede ser ejecutado dentro de Windows.

«Nuestra investigación muestra cómo incluso las formas más antiguas de malware pueden actualizarse con nuevas características para convertirlas en una amenaza peligrosa y persistente«


Una vez que un equipo se infecta, Qbot activa el llamado módulo colector de correo electrónico que extrae todos los hilos de correo electrónico del Outlook de la víctima y los sube a un servidor remoto de código duro. Estos correos robados se utilizan más tarde para futuras campañas de «malware», facilitando el hecho de que los usuarios sean engañados para que hagan clic en los archivos adjuntos infectados, ya que el correo electrónico de spam parece proseguir con una conversación de correo electrónico legítima ya existente. Los investigadores han observado diferentes ejemplos de hilos de correo electrónico dirigidos y secuestrados con temas relacionados con Covid-19, recordatorios de pagar impuestos y contrataciones de trabajo.


«Nuestra investigación muestra cómo incluso las formas más antiguas de malware pueden actualizarse con nuevas características para convertirlas en una amenaza peligrosa y persistente. Los actores de la amenaza detrás de Qbot están invirtiendo fuertemente en su desarrollo para permitir el robo de datos a gran escala de empresas y particulares», señala en un comunicado Yaniv Balmas, jefe de Investigación de Check Point.