Últimas notícias

Fique informado

Check Point alerta para a evolução do malware Qbot com novos métodos de ataque e o sequestro de históricos de e-mails

27 de agosto de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Por meio desse cavalo de Troia de nome Qbot, os cibercriminosos visam enganar as vítimas para obter dados corporativos e pessoais

Os pesquisadores da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, detectaram uma evolução do malware Qbot, e numa forma mais perigosa, que passou a sequestrar o histórico de conversas (threads) de e-mails legítimos para roubar credenciais bancárias e cartões de crédito, a instalação de ransomware para executar transações bancárias não autorizadas.

Identificado pela primeira vez em 2008, o Qbot (também conhecido como Qakbot ou Pinkslipbot) coleta dados de navegação e informações financeiras, incluindo detalhes de bancos online. Atualmente, são mais de 100 mil vítimas desta ciberameaça estimadas no mundo, tornando-se o malware mais difundido no momento.

O Qbot coleta e-mails legítimos do Outlook dos usuários infectados para tentar enganar novas vítimas sequestrando conversas de e-mail legítimos.

Os pesquisadores da Check Point encontraram várias campanhas usando a nova família do Qbot entre março e agosto de 2020. Em uma das campanhas, o Qbot estava sendo distribuído pelo trojan Emotet, um cavalo de Troia bancário que pode roubar dados espionando o tráfego da rede.

Isso levou os pesquisadores da Check Point a acreditarem que o Qbot possui novas técnicas de distribuição de malware, bem como uma infraestrutura de comando e controle renovada. Esta campanha envolvendo distribuição pelo Emotet impactou 5% das organizações globalmente em julho de 2020.

Nova linhagem, novos recursos

A última versão do Qbot evoluiu para se tornar altamente estruturada e em múltiplas camadas, estendendo suas capacidades como se fosse um “canivete suíço” que, de acordo com os pesquisadores, é capaz de:

• Roubar informações de máquinas infectadas, incluindo senhas, e-mails, detalhes de cartão de crédito e muito mais.

• Instalar ransomware: instalar outro malware em máquinas infectadas, incluindo ransomware.

•Permitir transações bancárias não autorizadas: faz com que o controlador do Bot se conecte ao computador da vítima (mesmo quando ela já está conectada) para fazer transações bancárias a partir do seu endereço IP.

Sequestro do histórico de conversas de e-mails

A cadeia de infecção do Qbot começa com o envio de e-mails especialmente elaborados para os alvos que são as organizações ou os indivíduos. Cada um dos e-mails contém uma URL para um ZIP com um arquivo Visual Basic Script (VBS) malicioso, o qual possui um código que pode ser executado no Windows.

Depois que uma máquina é infectada, o Qbot ativa um “módulo coletor de e-mail” especial que extrai todos os históricos de conversas de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto codificado.

Esses e-mails roubados são, então, utilizados para futuras campanhas de malspam, tornando mais fácil para os usuários serem enganados e clicarem em anexos infectados, porque o e-mail de spam parece continuar uma conversa existente de um e-mail legítimo.

Os pesquisadores da Check Point viram exemplos de threads de e-mail direcionados e sequestrados com assuntos relacionados à COVID-19, lembretes de pagamento de impostos e recrutamento de empregos.

Yaniv Balmas – Chefe de pesquisa cibernética da Check Point

“Nossa pesquisa mostra como até mesmo formas mais antigas de malwares podem ser atualizadas com novos recursos para torná-los uma ameaça perigosa e persistente. Os atacantes por trás do Qbot estão investindo pesadamente em seu desenvolvimento para permitir o roubo de dados em grande escala de organizações e indivíduos.”

“Vimos campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a do Emotet, para espalhar ainda mais a ameaça”, explica Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software Technologies.

“Nossa expectativa é a de que nossas observações e pesquisas sobre o Qbot ajudem a acabar com esta ameaça. Por enquanto, recomendo fortemente que as pessoas observem mais atentamente seus e-mails em busca de sinais que indiquem uma tentativa de phishing, mesmo quando o e-mail parecer vir de uma fonte confiável”, alerta Balmas.

A seguir, os pesquisadores da Check Point orientam sobre esses sinais de ciberameaças e recomendam como as organizações e os indivíduos podem se proteger contra esses tipos de ataques de phishing:

• Integrar uma solução de segurança de e-mail: Este é, de longe, o principal vetor para atacantes se infiltrarem em redes e PCs e roubarem dados – mais de 80% dos ataques que visam organizações têm início em um e-mail malicioso. Os e-mails de phishing que estimulam os usuários a expor as credenciais de suas organizações ou a clicar em um link / arquivo malicioso são a ameaça número um no espaço de e-mail. As organizações devem sempre implementar uma solução de segurança de e-mail, projetada para prevenir tais ataques automaticamente utilizando mecanismos de segurança continuamente atualizados e, assim, ter uma proteção otimizada contra os múltiplos vetores: phishing, malware, roubo de dados e o sequestro de contas.

• Desconfiar de e-mails que contenham anexos desconhecidos ou solicitações incomuns, mesmo que pareçam vir de fontes confiáveis. É sempre melhor verificar se o e-mail é legítimo antes de clicar em um link ou anexo.

• Adicionar verificação: Ao lidar com transferências bancárias, deve-se sempre se certificar de efetuar uma segunda verificação contatando a pessoa que solicitou a transferência ou ligando para a parte receptora.

• Notificar os parceiros de negócios. Se uma violação de e-mail foi detectada em sua organização, certifique-se também de notificar todos os seus parceiros de negócios, pois qualquer atraso na notificação beneficiará o atacante.

Alvos do Qbot

Os Estados Unidos têm sido o alvo número um dos ataques do Qbot, representando 29% de todos os ataques detectados, seguidos por Índia, Israel e Itália, cada um representando 7% de todos os ataques, respectivamente.

Os ataques visam organizações e indivíduos, principalmente dos setores militar, governo e indústria, com o objetivo de colher o máximo possível de dados confidenciais.

Hoje, o Qbot é muito mais perigoso do que era antes, pois tem uma campanha ativa de malspam que infecta as organizações e consegue usar uma infraestrutura de infecção de “terceiros” como a do Emotet para distribuir ainda mais a ameaça.

Parece que o grupo de ameaças por trás do Qbot está evoluindo suas técnicas ao longo dos anos, e os pesquisadores da Check Point esperam contribuir com outros pesquisadores ao redor do mundo para mitigar e potencialmente interromper a atividade do Qbot.

Detalhes sobre a cadeia de infecção do Qbot e análise completa dos pesquisadores sobre os recursos e ataques mais recentes deste malware podem ser consultados no site.

Check Point faz parceria com Harvard e MIT para oferecer cursos on-line gratuitos de cibersegurança na plataforma edX

Ataques cibernéticos: como funciona e como se proteger?

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.

A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (http://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.

A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.

Indústria 4.0 depende da convergência entre OT e TI para avançar no Brasil