Qué es el malware QBOT – Una técnica de contrabando de HTML
QBot, también conocido como Quackbot, es un troyano bancario que fue descubierto por primera vez en 2007. Qbot se ha convertido en uno de los troyanos bancarios más peligrosos del mundo en la actualidad y sigue siendo una amenaza grave y persistente para las empresas. Sus métodos iniciales de entrega de cargas útiles, como el empleo de macros VBA, macros de Excel 4, archivos VBS, etc., han cambiado con el tiempo. El nuevo método que emplea QBot en su asalto es el de «asalto de contrabando de HTML».
¿Qué es un asalto de contrabando de HTML?
Un método de ataque conocido como HTML Smuggling implica que el atacante contrabandee un malware o carga útil especialmente codificada. Lleva a cabo su función utilizando JavaScript y HTML 5. Esta estrategia puede ser utilizada en una variedad de formas de ataque. Algunos métodos típicos son:
Uso de etiquetas de anclaje
Un enlace de página a página está definido por la etiqueta de anclaje HTML, que es «.» Puede hacer un enlace a cualquier URL, incluyendo otras páginas web, archivos y ubicaciones. Además, podemos utilizar una etiqueta de anclaje para descargar cualquier archivo alojado en cualquier servidor.
Uso de Blob de JavaScript
Los blobs en JavaScript son objetos que son un grupo de bytes que contienen datos que se guardan en un archivo. Los datos de los blobs se guardan en la memoria del usuario. Donde se hubiera utilizado un archivo real, se utiliza este grupo de bytes en su lugar.
Uso del elemento Embed
En un documento HTML, se utiliza para incrustar otras aplicaciones, la mayoría de las veces activos multimedia como audio o vídeo. Sirve como contenedor para plug-ins como animaciones flash que se incrustan.
¿Por qué se emplea este método?
La víctima descifra los archivos incrustados cuando los abre el adjunto HTML y los guarda localmente. Los ciberdelincuentes utilizan cada vez más esta estrategia de ataque porque evita los filtros de red y los cortafuegos, ya que no puede pasar nada malo debido a los patrones codificados. Se descubrió que el método «document.createElement» había producido un elemento HTML incrustado.
Esta etiqueta era utilizada por los atacantes para desplegar cargas útiles dentro de archivos zip. Se engaña al usuario haciéndole creer que está descargando un archivo zip cuando en realidad el zip ya está incrustado en el archivo HTML. El archivo de imagen de disco, que de nuevo se compone de varios archivos, es lo que obtenemos después de extraer el archivo zip.
¿Qué podemos hacer para proteger nuestro PC?
Este problema puede resolverse si evitamos Javascript, pero en general no es posible deshabilitarlo porque muchos sistemas y aplicaciones web legítimas dependen de él. Además, con el fin de reducir el tamaño de los archivos y acelerar las aplicaciones web, varios frameworks de JavaScript respetables utilizan técnicas de ofuscación.
Así que prohibir el JavaScript que ha sido ofuscado no es un enfoque viable. En su lugar, podemos asegurarnos de tener un antivirus en tiempo real en nuestro PC que pueda detectar el malware en el momento en que entra en nuestro PC.
Consejo adicional: utilice un antivirus en tiempo real como T9 Antivirus
T9 Antivirus es una de las aplicaciones Antivirus de última generación que ofrece protección en tiempo real en su PC. Esta rara característica no está disponible en la mayoría de las aplicaciones antivirus del mundo. Con escudos de seguridad mejorados, T9 Antivirus vigila constantemente su PC e identifica el malware en el momento en que entra en su ordenador. Estas son algunas de sus características:
Protección contra malware y exploits
El sistema se mantiene a salvo de malware, virus, amenazas de día cero, PUP, troyanos y adware gracias a esta capa de defensa.
Defensa en tiempo real
Descubra y detenga el malware antes de que infecte su dispositivo y le convierta en víctima de robos de identidad, violaciones de datos u otras infracciones de seguridad similares.
Elimine cualquier componente de inicio potencialmente no deseado
Evite ser víctima de aplicaciones no identificadas que se ejecutan en segundo plano y ponen en peligro la seguridad de su sistema y sus datos, identificando y eliminando rápidamente los elementos de inicio peligrosos.
Protección de la Web
Un escudo llamado Web Protection está destinado a proteger a los usuarios de sitios web potencialmente dañinos. Advierte a los visitantes y evita que visiten sitios web dañinos o sospechosos.
Defensa del cortafuegos
Bloquea el acceso de programas peligrosos o atacantes a la red y a los datos antes de que se produzca cualquier daño potencial.
Desactive todos los anuncios
A nadie le gusta ver esos anuncios no deseados e intrusivos mientras está en línea. Bloquee estos molestos anuncios con el plugin de navegador Stop All Ads.
Optimizador & Shredder para PC
Para conseguir tiempos de carga más rápidos, elimina los archivos innecesarios y no utilizados de tu ordenador. Para una privacidad y protección completas, utilice Shredder para borrar completamente los datos sensibles y hacerlos irrecuperables.
Actualizar las definiciones con frecuencia
El software antivirus requiere actualizaciones periódicas para identificar y eliminar estas amenazas, ya que las amenazas de malware cambian constantemente y los delincuentes se vuelven más viciosos. Por lo tanto, T9 Antivirus instala actualizaciones de las definiciones de la base de datos con regularidad para mantenerle a salvo de las amenazas más recientes. Esto ayuda a evitar que los hackers exploten los fallos de seguridad y los mantiene parcheados.
La palabra final sobre ¿Qué es QBOT – Técnica de contrabando de HTML y cómo proteger su PC?
Por favor, háganos saber en los comentarios a continuación si usted tiene alguna pregunta o recomendaciones. Estaremos encantados de proporcionarle una resolución. Con frecuencia publicamos consejos, trucos y soluciones a problemas comunes relacionados con la tecnología. También puedes encontrarnos en Facebook, Twitter, YouTube e Instagram, Flipboard y Pinterest.