GETOVERX FORUM Community Support   ›   Malware Docs   ›   Troyanos (Trojans)   ›   QakBot (Qbot / Pinkslipbot)

  • 1 Vote(s) - 3 Average
  • 1
  • 2
  • 3
  • 4
  • 5
QakBot (Qbot / Pinkslipbot)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
12-05-2025, 04:12 PM (This post was last modified: 12-07-2025, 03:34 PM by mrwebfeeder.)
Nombre: QakBot (Qbot / Pinkslipbot)

Categoría: Troyano bancario / Implant para despliegue de ransomware

Fecha de descubrimiento: En torno a 2008–2009

Comportamiento (lo que hace y archivos que infecta):
- Originalmente diseñado como troyano bancario enfocado en robar credenciales de banca en línea.
- Evolucionó hasta convertirse en una plataforma de acceso inicial y movimiento lateral utilizada para preparar despliegues de ransomware (Conti, Black Basta, MegaCortex y otros).
- Se distribuye principalmente mediante:
- Campañas de phishing con adjuntos o enlaces maliciosos.
- Documentos ofimáticos con macros o exploits.
- Descarga a través de otros malware ya presentes en el sistema.
- Una vez dentro de la red:
- Roba credenciales de banca y otros servicios.
- Registra pulsaciones de teclado (keylogging) y captura información sensible.
- Enumera la red (equipos, shares, dominios) para preparar movimiento lateral.
- Descarga y ejecuta payloads adicionales (ransomware, herramientas de administración remota, etc.).
- A nivel de archivos:
- Modifica o crea ejecutables y librerías en directorios de sistema o de usuario.
- Crea y usa scripts y ficheros temporales durante la fase de infección.
- Interactúa con archivos de configuración, perfiles de navegadores y credenciales almacenadas para extraer datos.

Persistencia:
- Crea claves de Registro en rutas Run/RunOnce para ejecutarse en cada inicio de sesión.
- Genera tareas programadas y, en algunos casos, servicios para relanzar sus componentes tras reinicio.
- Se copia en ubicaciones de sistema (o de usuario) usando nombres similares a procesos legítimos para camuflarse.
- En entornos corporativos:
- Puede aprovechar herramientas de administración remota (RDP, software de soporte, etc.) para mantener presencia aunque se limpie un endpoint.
- Llega a desplegar herramientas adicionales para reconectar a la red incluso después de acciones de desinfección parciales.

Hash real de referencia (SHA-256):
Muestra pública asociada a QakBot/Qbot:
Code:
866343b3294e723c5ba44a197dd24e180471ca3f5b811281b16087855b369c16

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo profundo de todas las unidades locales y unidades de red mapeadas.
    - Localizar y eliminar el binario principal de QakBot y sus componentes auxiliares (scripts, DLLs, droppers).
    - Revisar especialmente:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema y carpetas de programas donde pueda camuflarse.
    - Repetir el escaneo después de la limpieza inicial y antes de reconectar el equipo a la red corporativa.

  • Firewall:
    - Bloquear conexiones salientes hacia infraestructura C2 conocida y hacia dominios/IPs sospechosos utilizados por QakBot.
    - Aislar los hosts bajo sospecha utilizando el módulo de firewall (por ejemplo, perfil “Normal” como mínimo, con restricciones adicionales para equipos en cuarentena).
    - Limitar tráfico SMB, RDP y otros servicios utilizados para movimiento lateral únicamente a orígenes/destinos autorizados.

  • HIPS / EDR:
    - Configurar reglas de detección para:
    - Inyección en procesos de navegador y otras aplicaciones frecuentes (explorer, outlook, etc.).
    - Ejecución de scripts (PowerShell, wscript, macros) que descargan y ejecutan binarios desde Internet o shares internos.
    - Comportamiento de “worm” (propagación por shares y SMB, intento de ejecutar código remoto en otros hosts).
    - Definir respuesta automática para:
    - Matar procesos sospechosos relacionados con QakBot.
    - Bloquear binarios por hash y por ruta una vez confirmados como maliciosos.
    - Registrar toda la actividad en los logs unificados para análisis forense posterior.

  • Sandbox:
    - Analizar en la Sandbox documentos sospechosos y ejecutables adjuntos a correos antes de abrirlos en producción.
    - Verificar:
    - Si el documento ejecuta macros o explotación de vulnerabilidades para descargar loaders de QakBot.
    - Si se establecen conexiones a dominios/IPs desconocidos.
    - Si se crean claves de Registro o tareas programadas relacionadas con persistencia.

  • Post-incidente:
    - Revisar y limpiar herramientas de acceso remoto abusadas durante la intrusión (RDP, software de soporte, utilidades de administración).
    - Usar únicamente la herramienta de ayuda remota de GetOverX Shield para futuras conexiones de soporte, con políticas de acceso reforzadas.
    - Cambiar contraseñas administrativas y de cuentas privilegiadas, especialmente aquellas usadas en equipos comprometidos.
    - Verificar si se desplegó ransomware u otros payloads posteriores:
    - Revisar logs de archivos cifrados, intentos de borrado de shadow copies, etc.
    - Analizar servidores críticos (AD, archivos, bases de datos) para detectar actividad relacionada.
    - Mejorar políticas de filtrado de correo y formación anti-phishing para reducir la superficie de ataque inicial.

Notas opcionales:
- QakBot ha sido uno de los principales “initial access brokers” en el ecosistema de ransomware, sirviendo como punto de entrada para múltiples familias de cifradores en entornos corporativos.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)