Check Point Software advierte sobre el regreso de Qbot
La infraestructura de este malware fue desmantelada en verano, pero los ciberdelincuentes han vuelto a utilizarlo para lanzar phishing contra la industria hostelera.
Tras reaparecer a finales de 2023, el descargador de JavaScript FakeUpdates sigue incrementando su presencia y ya se sitúa en el puesto número uno del Índice Global de Amenazas de Check Point Research, la división de inteligencia de amenazas de Check Point Software.
Según la edición del mes de diciembre, este downloader que escribe payloads en el disco antes de lanzarlas, tiene un impacto global del 2 %. En España es el tercer malware más destacado con un impacto del 1,64 % entre las empresas locales.
El informe destaca otros fenómenos, como que Nanocore ha logrado mantenerse en el top 5 durante seis meses consecutivos y ya es tercero o las entradas en la lista de Ramnit y Glupteba.
Pero, sobre todo, llama la atención la vuelta a la acción de Qbot, cuya infraestructura había sido desmantelada en el marco de la Operación Duck Hunt en agosto. Cuatro meses después de esto ha vuelto a ser utilizado por los ciberdelincuentes. Los investigadores de seguridad han encontrado su rastro en un ataque de phishing dirigido a empresas de hostelería, con correos que adjuntaban archivos PDF con enlaces URL a un instalador de Microsoft. Una vez activado, una versión invisible de Qbot aprovechaba una biblioteca de vínculos dinámicos.
Antes de su desaparición en verano, Qbot lideraba el índice de amenazas y fue uno de los malware predominantes a lo largo de diez meses consecutivos. Todavía no se ha reincorporado a la lista, pero podría hacerlo en los próximos meses.
“Ver a Qbot circulando de nuevo en menos de cuatro meses después de haber desmantelado su infraestructura de distribución es un recordatorio de que, aunque podemos interrumpir las campañas de malware, los agentes detrás de ellas se adaptarán con nuevas tecnologías”, observa Maya Horowitz, vicepresidente de investigación en Check Point Software.
Horowitz anima a las organizaciones a “adoptar un enfoque preventivo para la seguridad del endpoint, además de llevar a cabo la diligencia debida sobre el origen y la intención de un email”.