Los operadores de la botnet Qbot ya no distribuyen malware (se abre en una nueva pestaña) a través de documentos de Microsoft Office armados. En su lugar, optan por paquetes MSI maliciosos de Windows Installer.
Los investigadores de ciberseguridad lo ven como una «reacción directa» a la decisión de Microsoft de evitar la propagación de malware a través de las macros de Office.
Qbot, o Quakbot, es un troyano bancario de Windows que ha estado deambulando por la naturaleza durante más de una década. Los piratas informáticos suelen utilizarlo para robar información de inicio de sesión bancaria, así como datos personales y otros datos relacionados con la identidad. También se puede usar como un cuentagotas que dispensa Cobalt Strike a puntos finales comprometidos (se abre en una nueva pestaña).
Macros deshabilitadas desde enero
Los actores de amenazas que generalmente implementan Qbot incluyen REvil, Egregor y MegaCortex, todos los cuales generalmente se dirigen a empresas en lugar de individuos.
A fines de enero de este año, Microsoft tomó una decisión importante, en un intento por disuadir a los delincuentes de usar archivos de Office para distribuir malware: deshabilitó las macros de Excel 4.0 (XLM) de forma predeterminada.
En julio de 2021, la empresa lanzó una nueva opción de configuración del Centro de confianza de Excel, que permite a los administradores restringir el uso de macros de Excel 4.0 (XLM). Desde entonces, ha hecho que esta opción sea la predeterminada para todos.
Las macros de Excel 4.0 (XLM) fueron el formato predeterminado hasta 1993 y, aunque desde entonces se han descontinuado, todavía se pueden ejecutar con las últimas versiones del programa Office. Esto los hace ideales para los actores de amenazas, que han abusado de ellos para impulsar malware como TrickBot, Zloader, Qbot, Dridex, ransomware (se abre en una nueva pestaña) y muchos otros programas maliciosos.
Los administradores pueden usar el Control de políticas de aplicaciones de Microsoft 365 existente para configurar esta opción. La configuración de directiva de grupo «Configuración de notificación de macros» para Excel se encuentra en la siguiente ruta y clave de registro:
Gruppenrichtlinienpfad: Benutzerkonfiguration > Administrative Vorlagen > Microsoft Excel 2016 > Excel-Optionen > Sicherheit > Trust Center.
Registrierungsschlüsselpfad: computerHKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftOffice16.0excelsecurity
Über: BleepingComputer (Öffnet in einem neuen Tab)
