Resumen

El Laboratorio de seguridad de Hornetsecurity ha detectado el uso de macros XLM dentro de documentos XLSB para distribuir el malware QakBot. Debido a que tanto las macros XLM como el formato de documento XLSB son poco comunes, estos nuevos documentos maliciosos tienen una tasa de detección estática muy baja por las soluciones antivirus actuales.

Background

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) ha existido desde 2008. Se distribuye a través de Emotet, es decir,, Emotet descargará el cargador QakBot en las víctimas que ya estén infectadas con Emotet. Pero también se distribuye directamente por correo electrónico. Con este fin, utiliza el secuestro de hilo de conversación de correo electrónico en sus campañas1, es decir, responderá a los correos electrónicos que encuentre en los buzones de su víctima. Se sabe que QakBot intensifica las intrusiones al descargar ProLock ransware2.

La siguiente línea de tiempo muestra eventos recientes relacionados con QakBot:

Cronología de eventos de QakBot

La cadena de infección de QakBot es la siguiente:

 La cadena de infección de QakBot

QakBot ha estado utilizando macros XLM (también conocidas como macros Excel 4) para un tiempo tranquilo.

Análisis técnico

En 2020-10-15, alrededor de las 12:40 UTC, se observó una campaña malspam que distribuía QakBot utilizando documentos XLSB.

XLSB es un archivo de libro binario de Excel. Su uso principal es hacer que la lectura y la escritura en el archivo sean mucho más rápidas y reducir el tamaño de hojas de cálculo muy grandes. Sin embargo, con la potencia de cálculo actual y la disponibilidad de almacenamiento, la necesidad de este formato binario disminuyó y hoy en día rara vez se usan.

Combinar esto con las macros XLM antiguas y, por lo tanto, no muy bien detectadas, hace que los documentos actuales no sean reconocidos por ningún AV listado en VirusTotal:

Documento QAKBOT XLSB no detectado en VirusTotal

También las herramientas de análisis de malware de documentos comunes, como OLEVBA, no reconocen las macros XLM en formato XLSB:

 Documento QAKBOT XLSB no detectado por OLEVBA

Sin embargo, el soporte para macros XLM en archivos XLSB está en el mapa de ruta de OLEVBA 3.

Incluso la herramienta XLMMacroDeobfuscator (especializada en analizar macros XLM maliciosas), que admite el formato XLSB4, tiene problemas con el archivo XLSB de QakBot:

Documento QAKBOT XLSB no detectado por XLMMacroDeobfuscator

Pero, como de costumbre, el error en XLMMacroDeobfuscator se trabajó rápidamente en5.

Los archivos Qakbot XLSB se entregan a través del secuestro de hilo de conversación de correo electrónico clásico de Qakbot1 en un archivo ZIP adjunto:

Correo electrónico de QakBot que entrega el archivo XLSB

El archivo ZIP contiene el documento XLSB, que cuando se abre pretende ser cifrado por DocuSign y el usuario necesita «Habilitar la edición» y «Habilitar el Contenido» para descifrarlo:

Documento Qakbot XLSB

Cuando el usuario lo hace, se inicia una macro Auto_Open XLM en el documento, que descargará el cargador QakBot:

 Macro Qakbot XLM

La URL se ensambla a través de la macro XLM y pretende descargar un archivo PNG:

Descarga del cargador QakBot disfrazada de descarga PNG

En realidad, el archivo PNG es el ejecutable del cargador QakBot. Hornetsecurity ha informado previamente sobre el cargador QakBot y el malware de seguimiento, como ProLock ransware2.

Conclusión y contramedidas

Al igual que el resurgimiento de las macros XLM antiguas y hoy en día menos comunes utilizadas por actores maliciosos, el uso de los documentos XLSB poco comunes conduce nuevamente a tasas de detección más bajas por las soluciones de seguridad, que se centran principalmente en el malware de macros VBA moderno más común.

Sin embargo, el rápido tiempo de respuesta de Hornetsecurity a las nuevas amenazas emergentes y la protección contra malware de día cero proporciona a sus clientes una sólida protección contra campañas malspam nunca antes vistas y nuevos tipos de ataques. Los usuarios de la Protección contra spam y Malware de Hornetsecurity están protegidos contra el documento Qakbot XLSB.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002 – Archivo Malicioso
TA0003 – Persistencia T1053.005 – Tarea Programada
TA0003 – Persistencia T1547.001 – Registro de Claves de Ejecución / Carpeta de Inicio
TA0004 – Escalada de Privilegios T1053.005 – Tarea Programada
TA0005 de Defensa de la Evasión T1027.002 – Software de Embalaje
TA0005 de Defensa de la Evasión T1055 – Proceso de Inyección
TA0005 de Defensa de la Evasión T1055.012 – Proceso de Vaciamiento
TA0005 de Defensa de la Evasión T1497.001 – Sistema de Cheques
TA0006 – Credencial de Acceso T1003 – OS Credencial de Dumping
TA0006 – Credencial de Acceso T1110.001 – Adivinar la Contraseña
TA0006 – Credencial de Acceso T1555.003 – las Credenciales de los Navegadores Web
TA0007 – Descubrimiento T1016 – Sistema de Configuración de Red Descubrimiento
TA0011 – Comando y Control T1071.001 – Protocolos de la Web
TA0011 – Comando y Control T1090 – Proxy
TA0011 – Comando y Control T1090.002 – Proxy Externos