GETOVERX FORUM Community Support
QakBot (Qbot / Pinkslipbot) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Troyanos (Trojans) (https://forum.getoverx.com/forumdisplay.php?fid=15)
+--- Thread: QakBot (Qbot / Pinkslipbot) (/showthread.php?tid=108)

QakBot (Qbot / Pinkslipbot) - mrwebfeeder - 12-05-2025

Nombre: QakBot (Qbot / Pinkslipbot)

Categoría: Troyano bancario / Implant para despliegue de ransomware

Fecha de descubrimiento: En torno a 2008–2009

Comportamiento (lo que hace y archivos que infecta):
- Originalmente diseñado como troyano bancario enfocado en robar credenciales de banca en línea.
- Evolucionó hasta convertirse en una plataforma de acceso inicial y movimiento lateral utilizada para preparar despliegues de ransomware (Conti, Black Basta, MegaCortex y otros).
- Se distribuye principalmente mediante:
- Campañas de phishing con adjuntos o enlaces maliciosos.
- Documentos ofimáticos con macros o exploits.
- Descarga a través de otros malware ya presentes en el sistema.
- Una vez dentro de la red:
- Roba credenciales de banca y otros servicios.
- Registra pulsaciones de teclado (keylogging) y captura información sensible.
- Enumera la red (equipos, shares, dominios) para preparar movimiento lateral.
- Descarga y ejecuta payloads adicionales (ransomware, herramientas de administración remota, etc.).
- A nivel de archivos:
- Modifica o crea ejecutables y librerías en directorios de sistema o de usuario.
- Crea y usa scripts y ficheros temporales durante la fase de infección.
- Interactúa con archivos de configuración, perfiles de navegadores y credenciales almacenadas para extraer datos.

Persistencia:
- Crea claves de Registro en rutas Run/RunOnce para ejecutarse en cada inicio de sesión.
- Genera tareas programadas y, en algunos casos, servicios para relanzar sus componentes tras reinicio.
- Se copia en ubicaciones de sistema (o de usuario) usando nombres similares a procesos legítimos para camuflarse.
- En entornos corporativos:
- Puede aprovechar herramientas de administración remota (RDP, software de soporte, etc.) para mantener presencia aunque se limpie un endpoint.
- Llega a desplegar herramientas adicionales para reconectar a la red incluso después de acciones de desinfección parciales.

Hash real de referencia (SHA-256):
Muestra pública asociada a QakBot/Qbot:
Code:
866343b3294e723c5ba44a197dd24e180471ca3f5b811281b16087855b369c16

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo profundo de todas las unidades locales y unidades de red mapeadas.
    - Localizar y eliminar el binario principal de QakBot y sus componentes auxiliares (scripts, DLLs, droppers).
    - Revisar especialmente:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema y carpetas de programas donde pueda camuflarse.
    - Repetir el escaneo después de la limpieza inicial y antes de reconectar el equipo a la red corporativa.

  • Firewall:
    - Bloquear conexiones salientes hacia infraestructura C2 conocida y hacia dominios/IPs sospechosos utilizados por QakBot.
    - Aislar los hosts bajo sospecha utilizando el módulo de firewall (por ejemplo, perfil “Normal” como mínimo, con restricciones adicionales para equipos en cuarentena).
    - Limitar tráfico SMB, RDP y otros servicios utilizados para movimiento lateral únicamente a orígenes/destinos autorizados.

  • HIPS / EDR:
    - Configurar reglas de detección para:
    - Inyección en procesos de navegador y otras aplicaciones frecuentes (explorer, outlook, etc.).
    - Ejecución de scripts (PowerShell, wscript, macros) que descargan y ejecutan binarios desde Internet o shares internos.
    - Comportamiento de “worm” (propagación por shares y SMB, intento de ejecutar código remoto en otros hosts).
    - Definir respuesta automática para:
    - Matar procesos sospechosos relacionados con QakBot.
    - Bloquear binarios por hash y por ruta una vez confirmados como maliciosos.
    - Registrar toda la actividad en los logs unificados para análisis forense posterior.

  • Sandbox:
    - Analizar en la Sandbox documentos sospechosos y ejecutables adjuntos a correos antes de abrirlos en producción.
    - Verificar:
    - Si el documento ejecuta macros o explotación de vulnerabilidades para descargar loaders de QakBot.
    - Si se establecen conexiones a dominios/IPs desconocidos.
    - Si se crean claves de Registro o tareas programadas relacionadas con persistencia.

  • Post-incidente:
    - Revisar y limpiar herramientas de acceso remoto abusadas durante la intrusión (RDP, software de soporte, utilidades de administración).
    - Usar únicamente la herramienta de ayuda remota de GetOverX Shield para futuras conexiones de soporte, con políticas de acceso reforzadas.
    - Cambiar contraseñas administrativas y de cuentas privilegiadas, especialmente aquellas usadas en equipos comprometidos.
    - Verificar si se desplegó ransomware u otros payloads posteriores:
    - Revisar logs de archivos cifrados, intentos de borrado de shadow copies, etc.
    - Analizar servidores críticos (AD, archivos, bases de datos) para detectar actividad relacionada.
    - Mejorar políticas de filtrado de correo y formación anti-phishing para reducir la superficie de ataque inicial.

Notas opcionales:
- QakBot ha sido uno de los principales “initial access brokers” en el ecosistema de ransomware, sirviendo como punto de entrada para múltiples familias de cifradores en entornos corporativos.