Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Qakbot

¿Qué es?

Qakbot, también conocido como Qbot, Quakbot, Oakboat y Pinkslipbot, es un malware de tipo troyano bancario con capacidades de stealer y estructura modular que se enfoca en infectar dispositivos Windows para robar credenciales bancarias y datos financieros, exfiltrar información sensible y obtener control remoto. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

  • Roba credenciales bancarias y datos personales mediante técnicas como el registro de las pulsaciones del teclado (keylogging) y la inyección de código en sitios web.
  • Se propaga lateralmente en redes mediante explotación de servicios compartidos (SMB) y uso de credenciales robadas.
  • Establece persistencia en el sistema mediante tareas programadas y claves de registro.
  • Se comunica con servidores de mando y control (C2) para recibir órdenes y módulos adicionales.
  • Puede descargar y ejecutar otros tipos de programas maliciosos para mejorar sus capacidades de ataque.
  • Usa técnicas avanzadas de evasión, que incluyen la inyección de procesos, el uso de TLS cifrado para comunicaciones C2 y el cifrado del payload.
  • Participa en campañas masivas de phishing a través de correos electrónicos maliciosos que contienen documentos con macros o enlaces a sitios comprometidos.
  • Captura y extrae cookies activas del navegador para secuestrar sesiones web sin necesidad de volver a introducir credenciales.
  • Extrae correos y contactos para usarlos en nuevas campañas de phishing, especialmente campañas con hilos de conversación robados.
  • Ejecuta módulos directamente en memoria (fileless) para dificultar su detección por antivirus tradicionales.
  • Implementa técnicas de check-in con múltiples servidores C2 y DGA para mantener la comunicación incluso si parte de su infraestructura se desactiva.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de descargas de sitios web comprometidos, a través de otros troyanos que actúan como droppers y a través de movimientos laterales internos dentro de redes ya comprometidas con herramientas legítimas del sistema o credenciales válidas robadas.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos.

Más información

Compartir en Redes Sociales