{"id":25622,"date":"2021-07-12T15:42:29","date_gmt":"2021-07-12T13:42:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25622"},"modified":"2021-07-12T15:42:29","modified_gmt":"2021-07-12T13:42:29","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/icedid-qbot-banking-trojans-in-spam\/25622\/","title":{"rendered":"Los troyanos bancarios se disfrazan de correspondencia empresarial"},"content":{"rendered":"

Para los empleados que reciben cientos de correos electr\u00f3nicos, la tentaci\u00f3n de hacer una lectura r\u00e1pida y descargar los archivos adjuntos en piloto autom\u00e1tico puede ser irresistible. Y, por supuesto, los ciberdelincuentes se aprovechan y env\u00edan documentos supuestamente importantes que pueden incluir de todo: desde enlaces de phishing<\/em><\/a> hasta malware<\/em>. Recientemente, nuestros expertos han descubierto<\/a> dos campa\u00f1as de spam<\/em> muy parecidas que distribuyen los troyanos bancarios<\/a> IcedID y Qbot.<\/p>\n

El spam<\/em> con documentos maliciosos<\/h2>\n

Ambos correos electr\u00f3nicos estaban disfrazados de correspondencia empresarial. En el primer caso, los atacantes exig\u00edan compensaci\u00f3n por alg\u00fan motivo rid\u00edculo o mencionaban algo sobre cancelar una operaci\u00f3n. El mensaje conten\u00eda adjunto un archivo Excel comprimido con el nombre CompensationClaim y varios n\u00fameros. La segunda ola de correos de spam<\/em> involucraba pagos y contratos, e inclu\u00eda un enlace al sitio web hackeado<\/em> que almacenaba el archivo con el documento.<\/p>\n

En ambos casos, el objetivo de los atacantes era persuadir al destinatario para que abriera el archivo malicioso de Excel y ejecutara el macro que conten\u00eda, y as\u00ed descargara IcedID o Qbot (menos com\u00fan) en el equipo de la v\u00edctima.<\/p>\n\n

IcedID y Qbot<\/h2>\n

Los troyanos bancarios IcedID y Qbot existen desde hace a\u00f1os; los investigadores percibieron<\/a> IcedID por primera vez en el 2017 y Qbot est\u00e1 en servicio desde el 2008<\/a>. Adem\u00e1s, los atacantes constantemente afinan sus t\u00e9cnicas. Por ejemplo, en alg\u00fan momento ocultaron el componente principal de IcedID en una imagen PNG con un truco llamado esteganograf\u00eda<\/a> que es muy dif\u00edcil de detectar.<\/p>\n

Hoy, ambos programas maliciosos est\u00e1n disponibles en el mercado alternativo; adem\u00e1s de sus creadores, muchos clientes distribuyen estos troyanos. La tarea principal del malware<\/em> es robar la informaci\u00f3n de la tarjeta bancaria y las credenciales de inicio de sesi\u00f3n de las cuentas bancarias, de preferencia de cuentas empresariales (esto explica los correos con estilo comercial). Para lograr sus objetivos, los troyanos emplean m\u00faltiples m\u00e9todos. Por ejemplo, podr\u00edan:<\/p>\n