{"id":28710,"date":"2023-04-20T14:28:22","date_gmt":"2023-04-20T12:28:22","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28710"},"modified":"2023-04-20T14:28:22","modified_gmt":"2023-04-20T12:28:22","slug":"qbot-pdf-mailout","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/qbot-pdf-mailout\/28710\/","title":{"rendered":"QBot: el troyano que se distribuye a trav\u00e9s de los e-mails corporativos"},"content":{"rendered":"<p>A principios de abril, los expertos de Kaspersky descubrieron una campa\u00f1a masiva de correo electr\u00f3nico que enviaba mensajes con un PDF malicioso adjunto. Los atacantes van detr\u00e1s de las empresas adjuntando un documento peligroso a la correspondencia empresarial; hemos visto e-mails en ingl\u00e9s, alem\u00e1n, italiano y franc\u00e9s. El objetivo de la campa\u00f1a es infectar los ordenadores de las v\u00edctimas con el malware Qbot, tambi\u00e9n conocido como QakBot, QuackBot o Pinkslipbot. Lo interesante del asunto es que hace un a\u00f1o nuestros especialistas <a href=\"https:\/\/www.kaspersky.es\/blog\/qbot-emotet-spam-mailing\/27100\/\" target=\"_blank\" rel=\"noopener\">observaron un crecimiento similar<\/a> en el flujo de correos electr\u00f3nicos con malware, entre los que se inclu\u00eda Qbot.<\/p>\n<h2>El ataque desde el punto de vista de la v\u00edctima<\/h2>\n<p>El ataque se basa en las t\u00e1cticas de un \u201csecuestro de conversaciones\u201d. Los atacantes consiguen acceder a la correspondencia corporativa aut\u00e9ntica (Qbot, entre otras cosas, roba e-mails almacenados localmente en ordenadores anteriores de las v\u00edctimas) y se unen al di\u00e1logo, enviando sus mensajes como si estuvieran recuperando una conversaci\u00f3n antigua. Sus correos intentan convencer a las v\u00edctimas de que abran un archivo PDF adjunto, haci\u00e9ndolo pasar por una lista de gastos o cualquier otro documento corporativo que requiera alg\u00fan tipo de reacci\u00f3n r\u00e1pida.<\/p>\n<p>En realidad, el PDF contiene la imitaci\u00f3n de una notificaci\u00f3n de Microsoft Office 365 o Microsoft Azure. Esta notificaci\u00f3n intenta que la v\u00edctima haga clic en el bot\u00f3n \u201cAbrir\u201d. Si lo hace, acabar\u00e1 descargando en el ordenador un archivo protegido con contrase\u00f1a, con la clave en el texto de la propia \u201cnotificaci\u00f3n\u201d. Despu\u00e9s, se espera que el destinatario descomprima el archivo y ejecute el .wsf (Windows Script File). Se trata de un script malicioso que descarga el malware QBot desde un servidor remoto. Para una descripci\u00f3n t\u00e9cnica m\u00e1s detallada de todas las etapas del ataque, junto con sus indicadores de compromiso, puedes visitar <a href=\"https:\/\/securelist.com\/qbot-banker-business-correspondence\/109535\/\" target=\"_blank\" rel=\"noopener\">este art\u00edculo<\/a> de nuestro sitio web Securelist.<\/p>\n<h2>\u00bfQu\u00e9 puede provocar una infecci\u00f3n con QBot?<\/h2>\n<p>Nuestros expertos clasifican QBot como un troyano bancario que permite a los atacantes minar credenciales (nombres de usuario y contrase\u00f1as) y cookies de los navegadores, robar correspondencia, espiar actividades bancarias y registrar las pulsaciones de un teclado. Tambi\u00e9n puede instalar otro malware; un ransomware, por ejemplo.<\/p>\n<h2>\u00bfC\u00f3mo protegerte?<\/h2>\n<p>Para proteger tu empresa de los ciberdelincuentes, te recomendamos que instales una <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad<\/a> de confianza en todos los dispositivos corporativos con acceso a internet. Tambi\u00e9n te ayudar\u00eda que equiparas la puerta trasera del correo <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security\/mail-server?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">con un producto capaz de filtrar correos maliciosos, de phishing y de spam<\/a>. Por \u00faltimo, para que tus empleados puedan identificar por s\u00ed mismos los trucos de los atacantes, es necesario que <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">fomentes peri\u00f3dicamente sus conocimientos sobre las \u00faltimas ciberamenazas<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kes-cloud\">\n","protected":false},"excerpt":{"rendered":"<p>Unos ciberdelincuentes est\u00e1n distribuyendo el troyano QBot a trav\u00e9s de correspondencia corporativa. <\/p>\n","protected":false},"author":2730,"featured_media":28711,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,2202,2754],"tags":[3543,1721,586],"class_list":{"0":"post-28710","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-banqueros","11":"tag-e-mail","12":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/qbot-pdf-mailout\/28710\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/qbot-pdf-mailout\/25510\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/qbot-pdf-mailout\/20942\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/qbot-pdf-mailout\/28126\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/qbot-pdf-mailout\/25816\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/qbot-pdf-mailout\/26224\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/qbot-pdf-mailout\/35113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/qbot-pdf-mailout\/47902\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/qbot-pdf-mailout\/20466\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/qbot-pdf-mailout\/21139\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/qbot-pdf-mailout\/30032\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/qbot-pdf-mailout\/26144\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/qbot-pdf-mailout\/31821\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/qbot-pdf-mailout\/31507\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/troyanos\/","name":"troyanos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28710","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2730"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28710"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28710\/revisions"}],"predecessor-version":[{"id":28715,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28710\/revisions\/28715"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28711"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28710"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28710"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28710"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}