Skip to content
Javiera González21-11-234 min read

Phishing con tácticas de QakBot distribuye malware DarkGate y PikaBot

Se ha detectado una campaña de phishing de gran volumen que entrega malware DarkGate y PikaBot. La campaña está dirigida a una amplia gama de sectores y utiliza las mismas tácticas que se utilizaron anteriormente en los ataques que aprovechaban el troyano QakBot.

¿Cómo opera esta campaña?

Los correos electrónicos de phishing de la campaña contienen una URL trampa que apunta a un archivo ZIP. El archivo ZIP contiene un gotero de JavaScript que, a su vez, se pone en contacto con una segunda URL para descargar y ejecutar el malware DarkGate o PikaBot.

Se ha observado una variante notable de los ataques aprovechando archivos de complementos de Excel (XLL) en lugar de los cuentagotas de JavaScript para entregar las cargas útiles finales.

Tácticas de phishing avanzadas

Los actores de la amenaza utilizan hilos de correo electrónico secuestrados para entregar el malware. Estos hilos de correo electrónico son legítimos, pero han sido alterados por los actores de la amenaza para incluir un enlace malicioso.

Los actores de la amenaza también utilizan técnicas de ingeniería social para hacer que los correos electrónicos de phishing sean más convincentes. Por ejemplo, pueden personalizar los correos electrónicos para que se ajusten a los intereses o la ubicación del destinatario.

Características de las familias de malware DarkGate y PikaBot

Las familias de malware DarkGate y PikaBot son avanzadas y pueden entregar una amplia gama de cargas útiles maliciosas. Estas cargas útiles incluyen:

  • Minería de criptomonedas: El malware puede usarse para minar criptomonedas en el dispositivo infectado.
  • Robo de credenciales: El malware puede robar credenciales de cuentas, como nombres de usuario y contraseñas.
  • Ransomware: El malware puede cifrar los datos del dispositivo infectado y exigir un rescate para desbloquearlos.
  • Acceso remoto: El malware puede permitir que los atacantes accedan de forma remota al dispositivo infectado.

Impacto del malware

Una infección exitosa de DarkGate o PikaBot podría llevar a la entrega de software avanzado de minería criptográfica, herramientas de reconocimiento, ransomware o cualquier otro archivo malicioso que los agentes de la amenaza deseen instalar en la máquina de una víctima.

Si cree haber recibido un correo electrónico de phishing de esta campaña, no abra el archivo adjunto ni haga clic en el enlace. Si ya ha abierto el archivo adjunto o hecho clic en el enlace, siga los siguientes pasos:

  • Escanee su computadora con su solución de seguridad de endpoint.
  • Cambie sus contraseñas para cualquier cuenta que haya utilizado en el dispositivo infectado.
  • Informe del incidente a su equipo de seguridad.

Recomendaciones:

Para protegerse de este tipo de ataques debe tener cuidado al abrir archivos adjuntos o hacer clic en enlaces de correo electrónico de remitentes desconocidos, instalar y mantener actualizados los últimos parches de seguridad de su software, además de usar una solución de seguridad de endpoint que proporciones protección contra malware avanzado.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
    • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://thehackernews.com/2023/11/darkgate-and-pikabot-malware-resurrect.html

https://securityboulevard.com/2023/11/are-darkgate-and-pikabot-the-new-qakbot/?utm_source=sbwebsite&utm_medium=marquee&utm_campaign=marquee

https://twitter.com/StopMalvertisin/status/1726593839173923063

https://isp.page/news/darkgate-and-pikabot-malware-resurrect-qakbots-tactics-in-new-phishing-attacks/#gsc.tab=0 

Javiera González

ARTÍCULOS RELACIONADOS