El Security Lab de Hornetsecurity advierte de una nueva amenaza: los expertos en seguridad informática han descubierto que las macros XLM de los documentos XLSB se utilizan para propagar el malware QakBot. Dado que tanto las macros XLM como el formato de documento XLSB son inusuales, estos nuevos documentos maliciosos tienen una tasa de detección muy baja por parte de las soluciones antivirus actuales.

¿Qué es QakBot?

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008, y el malware se propaga a través de Emotet por Emotet descargando el cargador de QakBot de las víctimas infectadas. QakBot también se distribuye directamente por correo electrónico.
Para ello, las campañas utilizan el secuestro de hilos de conversaciones de correo electrónico, es decir, respondiendo a los correos electrónicos encontrados en los buzones de las víctimas. QakBot también es conocido por escalar los ataques descargando el ransomware de ProLock.

¿Por qué no se detectan los ataques?

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008, y el malware se propaga a través de Emotet por Emotet descargando el cargador de QakBot de las víctimas infectadas. El QakBot también se distribuye directamente por correo electrónico. Para ello, las campañas utilizan el secuestro de hilos de conversaciones de correo electrónico, es decir, respondiendo a los correos electrónicos encontrados en los buzones de las víctimas. El QakBot también es conocido por escalar los ataques descargando el ransomware de ProLock.

XLSB es un formato binario de libro de trabajo de Excel cuyo propósito principal es acelerar la lectura y escritura del archivo y reducir el tamaño de hojas de cálculo muy complejas. Sin embargo, con la actual potencia de computación y la disponibilidad de memoria, la necesidad de este formato binario ha disminuido y se utiliza raramente hoy en día.

Incluso las herramientas comunes para el análisis de malware de documentos, como OLEVBA, no reconocen las macros XLM en formato XLSB.

VirusTotal_XLSB_Format

Camuflado en un archivo ZIP

Los archivos QakBot-XLSB se distribuyen en un archivo ZIP adjunto. Este archivo ZIP contiene el documento XLSB que pretende ser un documento encriptado DocuSign cuando se abre. El usuario debe “Habilitar la edición” y “Habilitar el contenido” para desencriptarlo.

La URL está ensamblada usando la macro XLM y pretende descargar un archivo PNG.
Pero en realidad el archivo PNG es el archivo ejecutable del cargador de QakBot.

Screenshot_email_QakbotXLM-Makro

¿Qué se puede hacer contra este método de ataque?

La mayoría de las soluciones antivirus se centran en el malware de las modernas macros de VBA, pero a menudo no detectan la reaparición de las viejas y menos comunes macros XLM y documentos XLSB.
Por lo tanto, las empresas deben hacer uso de servicios de seguridad avanzados que sean capaces de reaccionar a las nuevas amenazas y métodos de ataque en el menor tiempo posible.
Los expertos en seguridad del Security Lab de Hornetsecurity ofrecen un análisis detallado de estos métodos de ataque en su blog. Dicho análisis está escrito en inglés.