Uma campanha de e-mail de spam maliciosa foi observada espalhando cada vez mais Trojans bancários da família QBot usando e-mails comerciais falsos.
Descoberto por pesquisadores de segurança da Kaspersky , a campanha maliciosa contava com mensagens escritas em diferentes idiomas, incluindo inglês, alemão, italiano e francês.
As mensagens foram baseadas em mensagens comerciais reais às quais os invasores tiveram acesso, o que lhes deu a oportunidade de ingressar no segmento de correspondência com mensagens próprias.
A correspondência comercial simulada pode obstruir o rastreamento de spam enquanto aumenta a probabilidade de a vítima cair no truque. Ao clicar no anexo, os e-mails baixam um anexo de um servidor remoto, protegido por uma senha fornecida no arquivo PDF original.
O arquivo baixado, por sua vez, inclui um arquivo WSF (Windows Script File) contendo um script ofuscado escrito em JScript. Depois que o arquivo WSF é desofuscado, sua verdadeira carga útil é revelada: um script do PowerShell codificado em uma linha Base64.
Assim que o usuário abre o arquivo WSF do arquivo, o script do PowerShell é executado discretamente no computador e logo em seguida usará o wget para baixar um arquivo DLL de um servidor remoto.
O Qbot é capaz de extrair senhas e cookies de navegadores, roubar mensagens de sua caixa de entrada, interceptar tráfego e fornecer aos operadores acesso remoto ao sistema infectado”, diz o artigo técnico.