El gusano Qbot ya ha infectado más de 54000 equipos en todo el mundo

La empresa de ciberseguridad BAE Systems ha publicado un informe sobre una nueva amenaza detectada. Se trata del gusano Qbot, uno que se ha infiltrado ya en nada menos que 54000 PCs a nivel mundial, expándiendose a través de las redes, tanto en empresas como en equipos domésticos.

Antes de continuar, merece la pena reseñar que el 85% de los equipos infectados por Qbot se encuentran en los EEUU. Allí, entidades de todo tipo (académicas, gubernamentales, centros médicos) han sido afectadas de forma grave. De hecho, no estamos hablando de una amenaza recién salida del horno, sino que ya lleva algunos años funcionando e informaron de su entrada en el Hospital de Melbourne a comienzos de 2016.

Gusano polimórfico de 2009

Nada menos que hace 7 años, el gusano Qbot, también llamado Qakbot, fué divisado por primera vez. Aunque ya era un viejo conocido (7 años en este sector es toda una era) si ha continuado expandiéndose a este ritmo se debe a la habilidad de sus creadores para seguir modificando el código del gusano, haciendo que este mute y evadiendo la detección. Y parece que han tenido bastante éxito.

¿Cómo se transmite el gusano Qbot?

Normalmente, Qbot se transmite mediante webs previamente infectadas, que son contagiadas con el kit de exploit Rig. Cuando un usuario visita una web hackeada en un ordenador vulnerable, se ejecuta un script malicioso y ofuscado (oculto), que es silenciosamente ejecutado y sirve el exploit en el equipo, para instalar el malware en el PC de la víctima y escanear, de paso, la red en busca de otras conectadas.

Este método es común, pero también se pone en marcha la clásica campaña de phishing, con el objeto de entrar en corporaciones y organismos públicos.

La detección por medio de antivirus es obstaculizada, debido al hecho de que el gusano Qbot contacta a su C2 (servidor de Comando y Control) para así recibir actualizaciones en tiempo real, mutando su apariencia. El malware se recompila y se re-encripta a si mismo, utilizando el polimorfismo para evitar ser identificado.

Polimorfismo y otras sorpresas

El porlimorfismo basado en servidor y utilizado por Qbot, le permite evadirse de la gran mayoría de motores antivirus. De los 55 motores que podemos encontrar en webs como VirusTotal, por ejemplo, sólo dos de ellos, pertenecientes a las casas más reputables, consiguen de manera más o menos continuada localizarlo. Y cuando lo hacen, lo hacen por su encriptador externo.

Luego, tras unos días más en torno al 50-60% de los otros antivirus serán capaces de controlarlo. Sin embargo, tras un par de días adicionales, el malware habrá cambiado de nuevo de aspecto, volviendo a comenzar y manteniendo su capacidad de permanecer bajo la sombra durante otro período.

Por otro lado, el malware es capaz de detectar si estamos ejecutando una máquina virtual (sandbox) y cambia entonces su forma de comportarse para evitar se descubierto. Digamos que se vuelve menos agresivo.

¿Qué capacidad de daño tiene Qbot?

Conviene poner tierra de por medio respecto a este gusano, con medidas de seguridad bien planteadas. Esto se debe a que, de entrar en nuestros sistemas, Qbot tiene capacidad de hacer un daño considerable:

1. Está diseñado para recopilar contraseñas y otras credenciales. De forma oculta, intentará conseguir las contraseñas del Centro de credenciales de Windows. Podrá así obtener inicios de sesión en red y contraseñas para Outlook o Conexiones a Excritorio Remoto, entre otros.
2. Peor aún, Qbot intentará acceder al gestor de contraseñas de Internet Explorer, robando los nombres de usuario y credenciales. Con estos detalles (y otros que adquiere mediante análisis de tráfico de red) los atacantes que lo controlan podrían irrumpir en nuestro servidor FTP o HTTP,  con el objeto de infectar nuevas páginas web en nuestro poder.
3. Finalmente -y no menos importante- Qbot posee capacacidades de backdoor. Actuando como «puerta trasera», los ciberdelincuentes podrían usarlo para extraer, de forma continuada, propiedad intelectual, insertar otro malware en nuestra empresa y atacar la infraestructura.

Para finalizar una buena noticia: parece que los creadores de Qbot cometen también sus errores. Como señala BAE Systems, en ciertos equipos antiguos el gusano tuvo un efecto diferente. En lugar de infectar los PCs, simplemente causó su bloqueo. Esto permitió a la gente de sistemas saber que algo no andaba bien, analizando el tráfico de red y, finalmente, descubriendo la amenaza.