O trojan bancário reapareceu em 2020 com entrega por Emotet, uso de conversas sequestradas, VBS ofuscado e infraestrutura de encaminhamento para ocultar servidores de comando e controle.
| Componente | Qbot, também conhecido como Qakbot e Pinkslipbot, com módulos para roubo financeiro, coleta de e-mails, persistência, comunicação com C2 e funções adicionais como spam bot e coleta de certificados. |
| Vetor | Campanhas de malspam entregam links para arquivos ZIP com VBS malicioso; em parte das infecções, o Qbot também foi distribuído após campanhas recentes do Emotet. |
| Impacto | Roubo de dados de navegação, credenciais bancárias e informações financeiras, extração de conversas do Outlook, execução do payload, persistência local e comunicação criptografada com infraestrutura de comando e controle. |
| Prioridade | Bloquear a cadeia de e-mail e ZIP/VBS, investigar hosts com execução anômala de VBS, revisar persistência em registro e tarefas agendadas, caçar diretórios aleatórios em %APPDATA%\Microsoft e conter sistemas com indícios de Qbot. |
| Artefatos | VBS com mais de 35 MB preenchido com bytes nulos, uso de Sleep API, URLs criptografadas por XOR, recurso 307 usado na carga inicial, recurso 311 com lista de 150 endereços de outros bots e arquivos .dat e .dll no diretório de trabalho. |
| Alvos observados | A maior concentração de ataques observada atingiu organizações nos Estados Unidos e na Europa, com destaque para setores governamental, militar e de manufatura. |
O Qbot reapareceu em campanhas de 2020 com uma combinação de entrega por malspam, distribuição por Emotet e mecanismos internos voltados a evasão, persistência e reaproveitamento de comunicações legítimas. O malware, identificado desde 2008 e também chamado de Qakbot ou Pinkslipbot, mantém seu foco histórico em dados de navegação, credenciais bancárias e informações financeiras, mas a atividade analisada mostra uma plataforma mais ampla do que um trojan bancário tradicional. A campanha proeminente acompanhada entre março e o fim de junho foi seguida por nova atividade no fim de julho, quando o Emotet voltou a lançar múltiplas campanhas de malspam e algumas delas passaram a instalar uma versão atualizada do Qbot em computadores comprometidos.
O ponto mais sensível da nova atividade é o módulo coletor de e-mails. Depois que a máquina é infectada, o Qbot pode extrair conversas inteiras do cliente Outlook da vítima e enviá-las para um servidor remoto definido no próprio malware. Essas mensagens roubadas alimentam novas rodadas de malspam, nas quais o operador responde ou aparenta continuar conversas reais. Esse encadeamento aumenta a credibilidade da mensagem fraudulenta porque o destinatário enxerga assunto, histórico e participantes que já existiam em um fluxo legítimo. Foram observados temas como Covid-19, lembretes de pagamento de impostos e recrutamento de trabalho, todos usados como pretexto para induzir abertura de anexos ou acesso a conteúdo malicioso.
A atividade também mostra mudança no estágio inicial. Campanhas anteriores usavam documentos Word com macros maliciosas e ofuscação simples; nas amostras novas, o fluxo passa por um arquivo VBS dentro de um ZIP apontado por URL no e-mail. O método baseado em VBS aparece em uso desde abril de 2020 e inclui técnicas para dificultar análise automatizada, como tamanho artificialmente elevado, atraso de execução, ofuscação e criptografia de URLs de download. Para equipes de defesa, isso desloca parte da detecção para controles de e-mail, proxy, endpoint e execução de scripts, com atenção especial a arquivos grandes e incomuns que chegam por anexos compactados ou links de sites comprometidos.
A cadeia começa com e-mails especialmente preparados para organizações-alvo. A técnica não depende necessariamente de spear phishing altamente individualizado, mas ganha força ao explorar conversas arquivadas capturadas anteriormente. O operador pode responder a uma thread legítima e inserir o conteúdo malicioso como se a mensagem fosse continuação natural da troca. O e-mail contém uma URL que leva a um arquivo ZIP com um VBS malicioso. Durante o rastreamento da campanha, foram vistos centenas de URLs diferentes para entrega desses ZIPs, em grande parte hospedados em sites WordPress comprometidos. Esse uso de infraestrutura legítima invadida tende a reduzir a eficácia de bloqueios simples por reputação de domínio, sobretudo quando o site comprometido tinha histórico benigno antes do abuso.
O VBS funciona como carregador. Em vez de depender de macros de documentos, o script baixa e executa o payload do Qbot. Para reduzir a visibilidade em ambientes de sandbox, o arquivo pode ultrapassar 35 MB devido a preenchimento com bytes nulos, recurso que pressiona limites de análise e armazenamento de algumas ferramentas automatizadas. O script também atrasa sua execução por meio da Sleep API, usa múltiplas camadas de ofuscação e mantém seis URLs hardcoded em formato criptografado. A criptografia descrita usa XOR customizado aplicado três vezes com chaves geradas dinamicamente. A informação relevante para defesa não é o comando de extração, mas o comportamento: um script grande e ofuscado, entregue por ZIP, decodifica destinos de download e busca a carga do Qbot antes de iniciar a execução no host.
Depois que a carga inicial roda, o Qbot aplica uma sequência de técnicas para permanecer discreto e dificultar engenharia reversa. O malware cria um diretório de trabalho com nomes aleatórios sob %APPDATA%\Microsoft, usa criptografia de strings por XOR e constrói dinamicamente a tabela de importação com base em strings protegidas. A amostra também verifica a presença de ferramentas e ambientes associados a análise, depuração, virtualização e inspeção de rede, incluindo classes de processos como depuradores, monitores de processo, ferramentas de tráfego, utilitários de amostra e componentes de máquinas virtuais. Quando considera o ambiente aceitável para execução, o malware descriptografa o recurso 307, injeta a carga em um novo processo explorer.exe, aciona um loader e chama o ponto de entrada da DLL principal.
A configuração é montada em tempo de execução a partir de recursos internos desempacotados e descriptografados. O diretório de trabalho não é apenas armazenamento auxiliar; ele atua como área de sincronização entre módulos. Arquivos de configuração com extensão .dat e arquivos de informação roubada com extensão .dll são tratados como artefatos centrais e acessados por diferentes componentes. O recurso 311 contém uma lista de 150 endereços IP de outros bots, usados como intermediários para encaminhar tráfego ao servidor real de comando e controle ou a um proxy de segunda camada. Esse desenho reduz a exposição direta da infraestrutura principal. A comunicação observada usa requisições POST para um caminho /t3, com dados criptografados por valor de inicialização aleatório e estrutura JSON baseada em identificadores numéricos, incluindo a chave 8 para códigos de mensagem. O malware mantém loops paralelos de rede para keep-alive, envio de relatórios e sessão de execução de comandos.
A superfície exposta combina usuários de e-mail, estáções Windows com Outlook, execução de scripts e controles frágeis contra anexos compactados. O risco não está limitado à primeira vítima da campanha, porque a coleta de conversas permite transformar caixas postais comprometidas em material para novos e-mails convincentes. Organizações com histórico de troca frequente de documentos, mensagens fiscais, discussões sobre recrutamento ou comunicação relacionada à pandemia podem receber mensagens que parecem pertencer a uma conversa real. O abuso de sites WordPress comprometidos como pontos de entrega amplia a superfície para filtros de navegação e proxy, pois o acesso inicial pode parecer uma visita HTTP ou HTTPS a domínio conhecido, não necessariamente a infraestrutura criada do zero para crime.
Os setores mais atingidos na visibilidade analisada foram governo, forças militares e manufatura, com concentração geográfica em organizações dos Estados Unidos e da Europa. Esse dado não significa exclusividade de alvo, mas indica onde a atividade foi mais observada. Em ambientes corporativos, o impacto técnico confirmado inclui execução do payload do Qbot, persistência por valores de registro e tarefas agendadas, coleta de informações financeiras e bancárias, extração de conversas do Outlook, comunicação com intermediários de C2 e presença de módulos internos adicionais. O material analisado cita capacidades como movimentação lateral, coleta de certificados e spam bot, mas a resposta defensiva deve confirmar cada capacidade no host antes de assumir que todas foram acionadas em uma infecção específica.
- Estáções Windows que recebem e abrem ZIPs contendo VBS malicioso a partir de links em e-mails.
- Clientes Outlook em hosts infectados, devido à extração de threads de e-mail para uso em campanhas futuras.
- Ambientes que permitem execução de VBS a partir de diretórios de usuário ou conteúdo baixado.
- Controles de proxy e e-mail que confiam excessivamente na reputação de sites legítimos, incluindo WordPress comprometidos.
- Hosts com persistência incomum em registro e tarefas agendadas associadas a diretórios aleatórios sob
%APPDATA%\Microsoft.
A investigação deve começar pela cadeia de entrega. Em gateways de e-mail, procure mensagens que respondem a conversas existentes e introduzem links para ZIPs externos, especialmente quando o assunto combina com temas de alta taxa de abertura, como Covid-19, impostos ou recrutamento. O conteúdo pode parecer legítimo por reutilizar trechos reais de conversas, portanto a análise precisa correlacionar o momento da resposta, o remetente, o destino do link, o tipo de arquivo baixado e a reputação do site intermediário. Em proxy e DNS, priorize downloads de ZIP vindos de sites WordPress que não costumam hospedar anexos para a organização, seguidos por criação ou execução de scripts em endpoints.
No endpoint, a telemetria deve identificar VBS com tamanho desproporcional, preenchimento anômalo, atraso antes de atividade de rede e comportamento de decodificação de destinos. Como o script baixa a carga do Qbot a partir de URLs criptografadas internamente, o sinal mais útil é o encadeamento entre execução de VBS, conexão de saída, gravação de payload e início de processo associado à carga. Também é relevante monitorar criação de diretórios e arquivos aleatórios em %APPDATA%\Microsoft, presença de arquivos .dat e .dll fora de caminhos esperados, criação de persistência por registro ou tarefa agendada e execução de explorer.exe como processo recém-criado que recebe código injetado.
Na rede, procure padrões compatíveis com a arquitetura de encaminhamento do Qbot. A presença de comunicação POST para caminho /t3, uso de dados criptografados e contato com múltiplos endereços que funcionam como intermediários pode indicar atividade do malware mesmo quando o C2 real não está visível. Como o recurso 311 contém uma lista de 150 IPs de outros bots, a defesa não deve depender de um único indicador. O modelo de caça mais robusto combina sequência de eventos: e-mail com link para ZIP, execução de VBS, download de payload, criação de diretório aleatório, persistência local, processo explorer.exe anômalo e tráfego POST criptografado para infraestrutura variável.
- E-mails que aparentam continuar threads legítimas, mas introduzem URL externa para ZIP com VBS.
- Arquivos VBS grandes, acima de padrões normais para scripts administrativos, especialmente com bytes nulos e ofuscação.
- Execução de VBS seguida por conexão externa, gravação de binário e criação de processo
explorer.exeincomum. - Diretórios aleatórios e arquivos
.datou.dllem%APPDATA%\Microsoftsem vínculo com software corporativo conhecido. - Novos valores de registro ou tarefas agendadas criados perto do horário de abertura do e-mail ou download do ZIP.
- Requisições POST criptografadas para caminho
/t3e comunicação com múltiplos IPs intermediários.
A contenção deve priorizar o bloqueio da cadeia de entrega e a preservação de evidências. Mensagens suspeitas com links para ZIP devem ser removidas das caixas de entrada, e URLs de entrega devem ser bloqueadas de forma contextual, considerando que parte dos domínios pode pertencer a sites comprometidos. Em paralelo, hosts que executaram VBS a partir de conteúdo baixado precisam ser isolados para análise. Como o Qbot pode coletar threads do Outlook, a resposta não deve tratar a caixa postal apenas como vítima passiva: é necessário investigar se conversas foram extraídas e se a conta ou o host foram usados para preparar novas mensagens convincentes contra contatos internos ou externos.
No endpoint, remova persistências confirmadas em registro e tarefas agendadas somente após coletar os artefatos necessários para análise. Revise diretórios aleatórios sob %APPDATA%\Microsoft, arquivos .dat e .dll relacionados ao malware, processos anômalos e eventos de injeção. A presença de módulos adicionais exige validação cuidadosa de escopo. Quando houver indício de coleta de credenciais bancárias, informações financeiras ou certificados, a organização deve rotacionar credenciais e materiais afetados de acordo com a exposição confirmada, evitando assumir tipos de dados não verificados. A comunicação com endereços intermediários também deve ser bloqueada, mas a erradicação depende de remover o malware e sua persistência local, não apenas de filtrar tráfego.
Como medida preventiva, restrinja execução de VBS originado de e-mail, navegador e diretórios de usuário, aplique inspeção mais rígida a ZIPs baixados por links externos e use detecção comportamental para scripts ofuscados que decodificam destinos e iniciam payloads. Treinamento de usuário isolado não cobre o risco de conversas sequestradas, pois a mensagem pode conter histórico real; por isso, a validação técnica de anexos, links e execução é mais confiável. Para ambientes com Outlook, monitore acesso anômalo a arquivos de e-mail e atividade de processos não usuais interagindo com dados do cliente. A resposta deve ser documentada por linha do tempo, começando no e-mail de entrada e terminando na confirmação de remoção da persistência e cessação do tráfego de comando e controle.
- Bloquear links e ZIPs associados à campanha e revisar sites legítimos comprometidos usados como pontos de entrega.
- Isolar endpoints que executaram VBS suspeito e preservar e-mail, script, arquivos criados e telemetria de processo.
- Remover persistência em registro e tarefas agendadas após coleta forense suficiente.
- Caçar e validar diretórios aleatórios em
%APPDATA%\Microsofte artefatos.date.dllassociados ao Qbot. - Investigar possível coleta de threads do Outlook e uso das conversas em novas campanhas de malspam.
- Rotacionar credenciais, certificados ou acessos somente quando a investigação confirmar exposição desses materiais.
- Criar regras comportamentais para VBS grande e ofuscado, execução atrasada, download de payload e injeção em
explorer.exe.
0 Comentários