Resumen
El Laboratorio de seguridad de Hornetsecurity ha detectado el uso de macros XLM dentro de documentos XLSB para distribuir el malware QakBot. Debido a que tanto las macros XLM como el formato de documento XLSB son poco comunes, estos nuevos documentos maliciosos tienen una tasa de detección estática muy baja por las soluciones antivirus actuales.
Background
QakBot (también conocido como QBot, QuakBot, Pinkslipbot) ha existido desde 2008. Se distribuye a través de Emotet, es decir,, Emotet descargará el cargador QakBot en las víctimas que ya estén infectadas con Emotet. Pero también se distribuye directamente por correo electrónico. Con este fin, utiliza el secuestro de hilo de conversación de correo electrónico en sus campañas1, es decir, responderá a los correos electrónicos que encuentre en los buzones de su víctima. Se sabe que QakBot intensifica las intrusiones al descargar ProLock ransware2.
La siguiente línea de tiempo muestra eventos recientes relacionados con QakBot:
La cadena de infección de QakBot es la siguiente:
QakBot ha estado utilizando macros XLM (también conocidas como macros Excel 4) para un tiempo tranquilo.
Análisis técnico
En 2020-10-15, alrededor de las 12:40 UTC, se observó una campaña malspam que distribuía QakBot utilizando documentos XLSB.
XLSB es un archivo de libro binario de Excel. Su uso principal es hacer que la lectura y la escritura en el archivo sean mucho más rápidas y reducir el tamaño de hojas de cálculo muy grandes. Sin embargo, con la potencia de cálculo actual y la disponibilidad de almacenamiento, la necesidad de este formato binario disminuyó y hoy en día rara vez se usan.
Combinar esto con las macros XLM antiguas y, por lo tanto, no muy bien detectadas, hace que los documentos actuales no sean reconocidos por ningún AV listado en VirusTotal:
También las herramientas de análisis de malware de documentos comunes, como OLEVBA, no reconocen las macros XLM en formato XLSB:
Sin embargo, el soporte para macros XLM en archivos XLSB está en el mapa de ruta de OLEVBA 3.
Incluso la herramienta XLMMacroDeobfuscator (especializada en analizar macros XLM maliciosas), que admite el formato XLSB4, tiene problemas con el archivo XLSB de QakBot:
Pero, como de costumbre, el error en XLMMacroDeobfuscator se trabajó rápidamente en5.
Los archivos Qakbot XLSB se entregan a través del secuestro de hilo de conversación de correo electrónico clásico de Qakbot1 en un archivo ZIP adjunto:
El archivo ZIP contiene el documento XLSB, que cuando se abre pretende ser cifrado por DocuSign y el usuario necesita «Habilitar la edición» y «Habilitar el Contenido» para descifrarlo:
Cuando el usuario lo hace, se inicia una macro Auto_Open XLM en el documento, que descargará el cargador QakBot:
La URL se ensambla a través de la macro XLM y pretende descargar un archivo PNG:
En realidad, el archivo PNG es el ejecutable del cargador QakBot. Hornetsecurity ha informado previamente sobre el cargador QakBot y el malware de seguimiento, como ProLock ransware2.
Conclusión y contramedidas
Al igual que el resurgimiento de las macros XLM antiguas y hoy en día menos comunes utilizadas por actores maliciosos, el uso de los documentos XLSB poco comunes conduce nuevamente a tasas de detección más bajas por las soluciones de seguridad, que se centran principalmente en el malware de macros VBA moderno más común.
Sin embargo, el rápido tiempo de respuesta de Hornetsecurity a las nuevas amenazas emergentes y la protección contra malware de día cero proporciona a sus clientes una sólida protección contra campañas malspam nunca antes vistas y nuevos tipos de ataques. Los usuarios de la Protección contra spam y Malware de Hornetsecurity están protegidos contra el documento Qakbot XLSB.
- 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
- 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
- 3 https://twitter.com/decalage2/status/1265031224130777091
- 4 https://twitter.com/DissectMalware/status/1253496637735010304
- 5 https://twitter.com/DissectMalware/status/1317939590720819201
Indicators of Compromise (IOCs)
Hashes
| MD5 | Filename |
|---|---|
ebd0e8581800059d451ed9969502ba53 |
Comission_1587332740_10142020.xlsb |
80fd1750532ebb8d148cd9916e621dba |
Comission_1587332740_10142020.zip |
URLs
hxxp//thomastongralestatecom/skywkc/3415201.png
DNSs
thomastongralestatecom
MITRE ATT&CK
MITRE ATT&CK Tactics and Techniques used by QakBot:
| Tactic | Technique |
|---|---|
| TA0001 – Initial Access | T1566.001 – Spearphishing Attachment |
| TA0001 – Initial Access | T1566.002 – Spearphishing Link |
| TA0002 – Execution | T1027 – Obfuscated Files or Information |
| TA0002 – Execution | T1059.005 – Visual Basic |
| TA0002 – Execution | T1204.002 – Archivo Malicioso |
| TA0003 – Persistencia | T1053.005 – Tarea Programada |
| TA0003 – Persistencia | T1547.001 – Registro de Claves de Ejecución / Carpeta de Inicio |
| TA0004 – Escalada de Privilegios | T1053.005 – Tarea Programada |
| TA0005 de Defensa de la Evasión | T1027.002 – Software de Embalaje |
| TA0005 de Defensa de la Evasión | T1055 – Proceso de Inyección |
| TA0005 de Defensa de la Evasión | T1055.012 – Proceso de Vaciamiento |
| TA0005 de Defensa de la Evasión | T1497.001 – Sistema de Cheques |
| TA0006 – Credencial de Acceso | T1003 – OS Credencial de Dumping |
| TA0006 – Credencial de Acceso | T1110.001 – Adivinar la Contraseña |
| TA0006 – Credencial de Acceso | T1555.003 – las Credenciales de los Navegadores Web |
| TA0007 – Descubrimiento | T1016 – Sistema de Configuración de Red Descubrimiento |
| TA0011 – Comando y Control | T1071.001 – Protocolos de la Web |
| TA0011 – Comando y Control | T1090 – Proxy |
| TA0011 – Comando y Control | T1090.002 – Proxy Externos |
Deja una respuesta