El Security Lab de Hornetsecurity advierte de una nueva amenaza: los expertos en seguridad informática han descubierto que las macros XLM de los documentos XLSB se utilizan para propagar el malware QakBot. Dado que tanto las macros XLM como el formato de documento XLSB son inusuales, estos nuevos documentos maliciosos tienen una tasa de detección muy baja por parte de las soluciones antivirus actuales.
¿Qué es QakBot?
QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008, y el malware se propaga a través de Emotet por Emotet descargando el cargador de QakBot de las víctimas infectadas. QakBot también se distribuye directamente por correo electrónico.
Para ello, las campañas utilizan el secuestro de hilos de conversaciones de correo electrónico, es decir, respondiendo a los correos electrónicos encontrados en los buzones de las víctimas. QakBot también es conocido por escalar los ataques descargando el ransomware de ProLock.
¿Por qué no se detectan los ataques?
XLSB es un formato binario de libro de trabajo de Excel cuyo propósito principal es acelerar la lectura y escritura del archivo y reducir el tamaño de hojas de cálculo muy complejas. Sin embargo, con la actual potencia de computación y la disponibilidad de memoria, la necesidad de este formato binario ha disminuido y se utiliza raramente hoy en día.
Incluso las herramientas comunes para el análisis de malware de documentos, como OLEVBA, no reconocen las macros XLM en formato XLSB.
Camuflado en un archivo ZIP
Los archivos QakBot-XLSB se distribuyen en un archivo ZIP adjunto. Este archivo ZIP contiene el documento XLSB que pretende ser un documento encriptado DocuSign cuando se abre. El usuario debe «Habilitar la edición» y «Habilitar el contenido» para desencriptarlo.
La URL está ensamblada usando la macro XLM y pretende descargar un archivo PNG.
Pero en realidad el archivo PNG es el archivo ejecutable del cargador de QakBot.