Investigadores logran descifrar las claves de registro del troyano bancario Quakbot

Investigadores de seguridad cibernética descifraron el mecanismo por el cual el versátil troyano bancario Quakbot maneja la inserción de datos de configuración encriptados en el Registro de Windows.

Quakbot, también conocido como QBot, QuackBot y Pinkslipbot, ha sido observado en la naturaleza desde 2007. Aunque se diseñó principalmente como un malware para robar información, Quakbot cambió sus objetivos y adquirió una nueva funcionalidad para ofrecer plataformas de ataque posteriores al compromiso como Cobalt Strike Beacon, con el objetivo final de cargar ransomware en las máquinas infectadas.

«Se ha desarrollado continuamente, con nuevas capacidades introducidas, como el movimiento lateral, la capacidad de filtrar correo electrónico y datos del navegador, y de instalar malware adicional», dijeron los investigadores de Trustwave Lloyd Macrohon y Rodel Mendrez.

En los últimos meses, las campañas de phishing culminaron con la distribución de un nuevo cargador llamado SQUIRRELWAFFLE, que actúa como un canal para recuperar las cargas útiles de la etapa final, como Cobalt Strike y QBot.

Las versiones más nuevas de Quakbot, también tienen la capacidad de secuestrar datos de correo electrónico y navegador, así como insertar información de configuración cifrada relacionada con el malware en el registro en lugar de escribirla en un archivo en el disco como parte de sus intentos de no dejar rastro de la infección.

«Aunque QuakBot no se está volviendo completamente sin archivos, sus nuevas tácticas seguramente reducirán su detección», dijeron los investigadores de Hornetsecurity en diciembre de 2020.

El análisis de Trustwave en el malware tiene como objetivo realizar ingeniería inversa en este proceso y descifrar la configuración almacenada en la clave de registro, y la compañía de seguridad cibernética dijo que la clave utilizada para cifrar los datos del valor de la clave de registro se deriva de una combinación de nombre de computadora, número de serie del volúmen, y el nombre de la cuenta de usuario, que luego se codifica y saltea junto con un identificador (ID) de un byte.

«El resultado del hash SHA1 se utilizará como una clave derivada para descifrar los datos del valor de la clave de registro correspondiente al ID usando el algoritmo RC4», dijeron los investigadores, además de poner a disposición una utilidad de descifrado basada en Python que se puede usar para extraer la configuración desde el registro.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.