Bankarski trojanac QBot se širi preko lažnih poslovnih imejlova

Vesti, 21.04.2023, 09:30 AM

Početkom aprila, stručnjaci kompanije Kaspersky primetili su kampanju masovnog slanja mejlova sa PDF fajlom. Ciljevi napadača su kompanije jer je uz poslovnu prepisku priložen poslovni dokument. Primećeni su mejlovi napisani na engleskom, nemačkom, italijanskom i francuskom. Cilj kampanje je zaraziti računare žrtava QBot malverom, takođe poznatim i po nazivima QakBot, QuackBot i Pinkslipbot.

Napadači koriste taktiku poznatu kao „otmica razgovora“. Hakeri dobijaju pristup poslovnoj korespondenciji (QBot, između ostalog, krade lokalno sačuvane mejlove sa računara prethodnih žrtava), i na osnovu informacija koje su tako prikupljene, hakeri se uključuju u već započete razgovore ili započinju nove razgovore kao veoma uverljivi i obavešteni sagovornici.

Šaljući takve mejlove oni pokušavaju da ubede žrtve da otvore link ili PDF fajl u ovom slučaju, koji je predstavljen kao spisak troškova ili drugi poslovni dokument koji zahteva neku vrstu brze reakcije.

PDF je u stvari lažno Microsoft Office 365 ili Microsoft Azure obaveštenje. Ovo obaveštenje pokušava da natera žrtvu da klikne na „Otvori“. Ako žrtva to učini, na računar se preuzima arhiva zaštićena lozinkom (lozinka je u tekstu samog „obaveštenja“). Zatim se očekuje da primalac raspakuje arhivu i pokrene .wsf fajl (Windows Script File) koji se nalazi u njoj. Ovo je zlonamerna skripta koja preuzima DLL sa udaljenog servera. Preuzeti DLL je QBot malver.

Do čega može dovesti infekcija QBotom?

QBot je bankarski trojanac za kog se zna da je u upotrebi od 2007. godine. On omogućava napadačima da ukradu akreditive (prijave i lozinke), kolačiće iz pretraživača, prepisku, da špijuniraju aktivnosti koje su u vezi banke i snimaju pritiske na tastere. Takođe, QBot može da instalira drugi malver (na primer, ransomware). Prema podacima Check Pointa, QBot je bio najrasprostranjeniji malver u martu ove godine.

U počeku se QBot distribuirao preko zaraženih veb sajtova i piratskog softvera, a sada se ovaj trojanac potencijalnim žrtvama uglavnom dostavlja putem malvera koji se već nalazi na njihovim računarima, uz pomoć taktika društvenog inženjeringa i neželjene pošte.

Kako se zaštititi?

Preporuka je instaliranje pouzdanog rešenja za zaštitu na svim korporativnim uređajima sa pristupom internetu. Takođe je od pomoći filtriranje elektronske pošte proizvodom koji može da identifikuje zlonamerne mejlove, fišing mejlove i neželjenu poštu. Zaposlene bi trebalo obučiti da samostalno prepoznaju trikove napadača, što znači da je neophodna stalna edukacija o savremenim sajber pretnjama.

Foto: Maksim Goncharenok / Pexels