Un grupo de investigadores ha descubierto una nueva versión del troyano Qakbot con nuevas funcionalidades, ya que tiene la capacidad de explotar una vulnerabilidad de día cero de Windows y escalar los privilegios del sistema operativo.
Expertos de Kaspersky reconocieron una posible vulnerabilidad en el sistema operativo que desarrolla Microsoft el pasado 1 de abril a través de un documento subido a la plataforma VirusTotal, en el que se describía un proceso de explotación idéntico al ‘exploit’ para otra falla, CVE-2023-36033.
A pesar de que sospechaban que la nueva falla podría ser ficticia o inexplotable, el equipo continuó con su investigación y advirtió que la vulnerabilidad, registrada como CVE-2024-30051, era capaz de escalar los privilegios del sistema operativo.
Kaspersky comenzó entonces a monitorizar los ataques de seguridad utilizando la falla y, a mediados de abril, detectó un ‘exploit’ para ella, ya que se observó que se utilizaba con Qakbot y otros ‘malware’.
QakBot es un ‘malware’ activo desde 2007, conocido también como QBot o Pinkslipbot, que desde un principio se ha propagado a través de ’emails’ con enlaces maliciosos, con los que consigue infectar los equipos informáticos de las víctimas.
Aunque su objetivo principal es hacerse con las credenciales de inicio de sesión para la banca ‘online’, también se ha utilizado como mecanismo de entrega para otros tipos de ‘malware’ y puede actuar como troyano de acceso remoto (RAT).
Asimismo, la firma de ciberseguridad ha matizado en una nota de prensa que este troyano ha aquirido una nueva funcionalidad, el ‘keylogging’, es decir, que ejecuta un programa en segundo plano para registrar las pulsaciones de las teclas que utilizan las víctimas. También el robo de correo electrónico y la capacidad de propagarse e instalar ‘ransomware’.
Con ello ha recordado que este ‘malware’, dirigido ahora al sistema operativo de Microsoft, es conocido “por sus frecuentes actualizaciones y mejoras, lo que lo convierte en una amenaza persistente en el panorama de la seguridad”, según el comunicado.
También ha dicho que, en los últimos años, se ha observado que Qakbot emplea otros ‘botnets’, como Emotet, para su distribución. Por ese motivo, ha actualizado sus servicios, con versiones que son capaces de detectar la expltoación de CVE-2024-30051
[
,
,