Una operación a escala internacional coordinada por Europol desmanteló la infraestructura de Qakbot, un programa malicioso empleado en el robo de datos financieros y criptomonedas que se propagaba en campañas de ‘phishing’ vía ’email’.
Qakbot es un ‘malware’ activo desde 2007, conocido también como QBot y Pinkslipbot, que se propagaba a través de ’emails’ con enlaces o hipervínculos maliciosos con los que conseguía infectar el equipo informático de la víctima.
Una vez infectado, el ‘malware’ podía ejecutar troyano o un ‘ransomware -que bloquea el equipo para robar datos y solicitar un pago a cambio de su liberación-, hacer que el equipo formará parte de una ‘botnet’, controlada por un cibercriminal, o acceder a las credenciales de acceso a servicios financieros guardadas en los navegadores.
El principal objetivo de este ‘malware’ era el robo de datos financieros, y llegó a infectar unos 700.000 computadoras en todo el mundo. Se estima que robó más de u$s8 millones en criptomonedas.
También se identificó en campañas de ‘ransomware’ contra infraestructuras críticas y empresas, y se detectaron cerca de 30 servidores en Europa, América, Asia y África que facilitaban su actividad global.
Los hackers también operan a través de billeteras digitales
Un equipo de científicos encontró una serie de ataques dirigidos a billeteras virtuales de criptomonedas en distintos lugares como Europa, Estados Unidos y América Latina.
Estos ataques se ejecutan mediante un software malicioso de múltiples etapas llamado DoubleFinger, el cual activa un programa robador de criptomonedas denominado GreetingGhoul y el troyano conocido como Remcos.
En la actualidad, se observa un rápido incremento en el interés de los delincuentes informáticos por las criptomonedas.
En esta ocasión, los hackers lograron crear un programa malicioso que se asemeja de manera significativa a las amenazas persistentes avanzadas (APT, por sus siglas en inglés), con el objetivo de obtener acceso a estos activos digitales.
Este es un esquema que emplea una sofisticada aplicación informática de alta complejidad técnica, fundamentada en un proceso multifase, conocida como DoubleFinger.
El propósito de esta iniciativa es apoderarse de las credenciales de las criptomonedas pertenecientes a los usuarios en naciones de Europa, Latinoamérica y los Estados Unidos. La información fue minuciosamente apuntada por un equipo de investigadores de Kaspersky.
En este sentido, de acuerdo con el estudio realizado por la firma especializada en seguridad informática, nos encontramos frente a un ataque que despliega:
- El software malicioso GreetingGhoul para el robo de criptomonedas
- El troyano de acceso remoto (RAT) conocido como Remcos
Fuente: Ciberseguridad: desmantelan la infraestructura del malware Qakbot (iproup.com)
