{"id":21139,"date":"2023-04-20T16:09:36","date_gmt":"2023-04-20T19:09:36","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21139"},"modified":"2023-04-20T16:09:36","modified_gmt":"2023-04-20T19:09:36","slug":"qbot-pdf-mailout","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/qbot-pdf-mailout\/21139\/","title":{"rendered":"Trojan QBot se espalha por e-mails corporativos"},"content":{"rendered":"<p>No in\u00edcio de abril, os especialistas da Kaspersky descobriram uma campanha de e-mail em massa enviando mensagens com um PDF malicioso anexado. Os invasores est\u00e3o de olhos nas empresas: um documento perigoso \u00e9 anexado \u00e0 mensagem comercial (vimos e-mails escritos em ingl\u00eas, alem\u00e3o, italiano e franc\u00eas). O objetivo da campanha \u00e9 infectar os computadores das v\u00edtimas com o malware QBot, tamb\u00e9m conhecido como QakBot, QuackBot ou Pinkslipbot. Curiosamente, cerca de um ano atr\u00e1s, nossos especialistas <a href=\"https:\/\/www.kaspersky.com.br\/blog\/qbot-emotet-spam-mailing\/19331\/\" target=\"_blank\" rel=\"noopener\">observaram um aumento repentino semelhante<\/a> no fluxo de e-mails que entregavam malware (incluindo QBot).<\/p>\n<h2>Como \u00e9 esse ataque do ponto de vista da v\u00edtima<\/h2>\n<p>O ataque \u00e9 baseado em t\u00e1ticas de \u201csequestro de conversas\u201d. Os hackers obt\u00eam acesso a correspond\u00eancia comercial genu\u00edna (o QBot, entre outras coisas, rouba e-mails armazenados localmente dos computadores das v\u00edtimas anteriores) e participam de conversas, enviando suas mensagens como se estivessem em uma discuss\u00e3o antiga. Seus e-mails tentam convencer as v\u00edtimas a abrir um arquivo PDF anexado, fazendo-o passar por uma lista de despesas ou outro documento comercial que exija algum tipo de rea\u00e7\u00e3o r\u00e1pida.<\/p>\n<p>Na realidade, o PDF cont\u00e9m uma notifica\u00e7\u00e3o de imita\u00e7\u00e3o do Microsoft Office 365 ou do Microsoft Azure. Esta notifica\u00e7\u00e3o tenta fazer com que a v\u00edtima clique no bot\u00e3o \u201cAbrir\u201d. Se a v\u00edtima o fizer, um arquivo protegido por senha \u00e9 baixado no computador (com a senha no texto da pr\u00f3pria \u201cnotifica\u00e7\u00e3o\u201d). Em seguida, espera-se que o destinat\u00e1rio descompacte o arquivo e execute o .wsf (arquivo de script do Windows) dentro dele. Este \u00e9 um script malicioso que baixa o malware QBot de um servidor remoto. Uma descri\u00e7\u00e3o t\u00e9cnica mais detalhada de todos os est\u00e1gios do ataque, junto com indicadores de comprometimento, pode ser encontrada <a href=\"https:\/\/securelist.com\/qbot-banker-business-correspondence\/109535\/\" target=\"_blank\" rel=\"noopener\">aqui no site da Securelist<\/a>.<\/p>\n<h2>O que pode levar a uma infec\u00e7\u00e3o QBot?<\/h2>\n<p>Nossos especialistas classificam o QBot como um trojan banc\u00e1rio. Ele permite que invasores extraiam credenciais (logins e senhas) e cookies de navegadores, roubem correspond\u00eancia, espionem atividades banc\u00e1rias e registrem teclas digitadas. Ele tamb\u00e9m pode instalar outro malware (ransomware, por exemplo).<\/p>\n<h2>Como se manter protegido?<\/h2>\n<p>Para proteger sua empresa das a\u00e7\u00f5es de cibercriminosos, recomendamos a instala\u00e7\u00e3o de uma <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o de ciberseguran\u00e7a<\/a> confi\u00e1vel em todos os dispositivos corporativos com acesso \u00e0 internet. Tamb\u00e9m \u00e9 \u00fatil equipar o gateway de e-mail <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security\/mail-server?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">com um produto capaz de filtrar e-mails maliciosos, de phishing e spam<\/a>. Por fim, para capacitar seus funcion\u00e1rios a identificar de forma independente os truques do invasor, \u00e9 necess\u00e1rio regularmente <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">aumentar a conscientiza\u00e7\u00e3o sobre as ciberamea\u00e7as atuais<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os hackers est\u00e3o distribuindo o trojan QBot por meio de mensagens corporativas.<\/p>\n","protected":false},"author":2730,"featured_media":21140,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655],"tags":[1125,807,175],"class_list":{"0":"post-21139","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-e-mail","11":"tag-trojans","12":"tag-trojans-bancarios"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/qbot-pdf-mailout\/21139\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/qbot-pdf-mailout\/25510\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/qbot-pdf-mailout\/20942\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/qbot-pdf-mailout\/28126\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/qbot-pdf-mailout\/25816\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/qbot-pdf-mailout\/26224\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/qbot-pdf-mailout\/28710\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/qbot-pdf-mailout\/35113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/qbot-pdf-mailout\/47902\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/qbot-pdf-mailout\/20466\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/qbot-pdf-mailout\/30032\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/qbot-pdf-mailout\/26144\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/qbot-pdf-mailout\/31821\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/qbot-pdf-mailout\/31507\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/trojans\/","name":"Trojans"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2730"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21139"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21139\/revisions"}],"predecessor-version":[{"id":21142,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21139\/revisions\/21142"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21140"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}