Repunte del malware Qbot infecta correos corporativos con archivos PDF
•El troyano bancario roba contraseñas y correos de trabajo, además permite la instalación de ransomware y otros troyanos.
Kaspersky informó sobre un repunte del malware Qbot en usuarios corporativos que se propaga a través de una campaña de spam.
Mencionó que los atacantes utilizan técnicas de ingeniería social, reenviando a hilos de correos archivos PDF maliciosos. Desde el 4 de abril se han recibido más de 5,000 emails de este tipo, difundidos en inglés, alemán, italiano y francés, en distintos países. A decir de Kaspersky, ha comprobado que la campaña continúa activa.
Explicó que Qbot es un troyano bancario que funciona como parte de una red de botnets y es capaz de robar contraseñas y correos corporativos. Además, permite a los actores de amenazas controlar un sistema infectado e instalar ransomware, así como otros troyanos en dispositivos de la red. Los operadores del malware utilizan varios esquemas de distribución, incluido el envío de correos electrónicos con archivos PDF maliciosos, algo que no se había observado antes en esta campaña, indicó la marca.
A principios de abril, Kaspersky dijo observar un aumento en la actividad de una campaña de correo electrónico no deseado que usaba este esquema de archivos adjuntos en formato PDF.
Se distribuye a través de los hilos de correo corporativos de la víctima potencial, a la que se le solicita que abra el archivo PDF malicioso con cualquier excusa relacionada con lo que se trata en el hilo del email, como el monto de un contrato o costes estimados de una operación, entre otros.
“Nuestra recomendación para las empresas es que se mantengan alerta, ya que Qbot es muy dañino. Los ciberdelincuentes lo han mejorado con técnicas de ingeniería social, lo que aumenta las posibilidades de que un empleado caiga en el engaño. Para evitarlo, es recomendable verificar cuidadosamente la ortografía de los correos, la dirección del remitente, posibles errores gramaticales y archivos adjuntos extraños”, explica Darya Ivanova, analista de malware en Kaspersky.
El archivo PDF es una imagen que imita una notificación de Microsoft Office 365 o Microsoft Azure. Cuando el usuario lo abre, el archivo malicioso se descarga en el equipo desde un servidor remoto.
Para protegerse frente a esta y otras amenazas, Kaspersky recomienda:
–Revisar la dirección del remitente. La mayoría del spam llega de direcciones de correo electrónico extrañas, diferentes a las habituales. Si se pasa el cursor sobre la misma, se puede ver por completo y salir definitivamente de dudas. Para verificar si es legítima, es también recomendable escribirla en un buscador de internet y ver los resultados que arroja.
–Ser cauteloso con los mensajes que solicitan realizar acciones con urgencia. Los ciberdelincuentes utilizan esta táctica para que la víctima piense lo menos posible.
–Proveer a los equipos de formación en higiene cibernética. Por ejemplo, se pueden realizar ataques simulados de phishing para que la plantilla aprenda a diferenciar los correos de suplantación de identidad de los auténticos
–Usar una solución de ciberseguridad con capacidades antiphishing para proteger endpoints y servidores de correo, como es el caso de Endpoint Security for Business. Esto reduce la posibilidad de sufrir un ataque de suplantación de identidad.
–Instalar una solución de escaneo de correo como Secure Mail Gateway para detectar y aislar ciberamenazas.
WhatsApp eSemanal 55 7360 5651
