Los investigadores descifraron las claves de registro cifradas del troyano bancario Qakbot

Los investigadores descifraron las claves de registro cifradas del troyano bancario Qakbot Noticias

Investigadores de ciberseguridad han descifrado el mecanismo por el cual el versátil troyano bancario Qakbot maneja la inserción de datos de configuración encriptados en el Registro de Windows.

Qakbot, también conocido como QBot, QuackBot y Pinkslipbot, ha sido observado en estado salvaje desde 2007. Aunque se diseñó principalmente como un malware para robar información, desde entonces Qakbot cambió sus objetivos y adquirió una nueva funcionalidad para ofrecer plataformas de ataque posteriores al compromiso, como Cobalt Strike Beacon, con el objetivo final de cargar ransomware en máquinas infectadas.

«Se ha desarrollado continuamente, con nuevas capacidades introducidas, como el movimiento lateral, la capacidad de filtrar correo electrónico y datos del navegador, y de instalar malware adicional», dijeron los investigadores de Trustwave Lloyd Macrohon y Rodel Mendrez en un informe compartido con The Hacker News.

En los últimos meses, las campañas de phishing han culminado con la distribución de un nuevo cargador llamado SQUIRRELWAFFLE, que actúa como un canal para recuperar las cargas útiles de la etapa final, como Cobalt Strike y QBot.

Las versiones más nuevas de Qakbot también tienen la capacidad de secuestrar datos de correo electrónico y navegador, así como insertar información de configuración cifrada relacionada con el malware en el registro en lugar de escribirla en un archivo en el disco como parte de sus intentos de no dejar rastro de la infección.

«Si bien QakBot no se está volviendo completamente sin archivos, sus nuevas tácticas seguramente reducirán su detección», investigadores de Hornetsecurity. señaló en diciembre de 2020.

El análisis de Trustwave en el malware tiene como objetivo realizar ingeniería inversa en este proceso y descifrar la configuración almacenada en la clave de registro, y la compañía de seguridad cibernética señaló que la clave utilizada para cifrar los datos del valor de la clave de registro se deriva de una combinación de nombre de computadora, número de serie del volumen, y el nombre de la cuenta de usuario, que luego se codifica y saltea junto con un identificador (ID) de un byte.

«El SHA1 El resultado del hash se usará como una clave derivada para descifrar los datos del valor de la clave de registro correspondientes a la ID usando el RC4 algoritmo», dijeron los investigadores, además de poner a disposición un Utilidad de descifrado basada en Python que se puede utilizar para extraer la configuración del registro.

David
Rate author
Hackarizona