Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Opisi virusa, 28.08.2020, 11:00 AM

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu sa kojima napada vladin, vojni i proizvodni sektor u SAD i Evropi.

U analizi koju je objavio Check Point Research, čini se da se najnoviji talas aktivnosti Qbota povezan sa povratkom Emoteta, malvera koji stoji iza nekoliko spam kampanja i napada ransomwarea prošlog meseca.

Qbot je mnogo opasniji nego što je bio ranije - ima aktivnu kampanju sa malicioznim oglasima i koristi infrastrukturu Emoteta za dalje širenje.

Qbot (QuakBot, QakBot ili Pinkslipbot) je otkriven 2008. godine a tokom godina je evoluirao od malvera koji krade informacije do malvera koji isporučuje druge malvere, kao što je ransomware Prolock, a čak se i daljinski povezuje sa ciljanim Windows sistemom da bi obavljao bankarske transakcije sa IP adrese žrtve.

Napadači obično zaraze žrtve fišingom da bi ih namamili na veb sajtove koji koriste exploite da bi ubacili Qbot pomoću droppera.

Infekcija započinje fišing emailom koji sadrži ZIP fajl ili link do ZIP fajla koji sadrži zlonamerni Visual Basic Script (VBS) koji zatim preuzima dodatni payload odgovoran za održavanje odgovarajućeg kanala komunikacije sa napadačem i izvršavanje primljenih komandi.

Značajno je da lažni emailovi koji se šalju organizacijama, a u kojima se kao mamac koristi COVID-19, podsetnik o plaćanju poreza ili su u vezi zaposlenja, ne uključuju samo zlonamerni sadržaj, već sadrže i arhiviranu prepisku između dve strane kako bi izgledali uverljivije.

Da bi se to postiglo, razgovori se prethodno prikupljaju pomoću modula za prikupljanje emailova koji izvlači sve emailove iz žrtvinog Outlooka i šalje ih na server.

Distributeri Qbota objavili su čak 15 verzija malvera od početka godine, a poslednja poznata verzija objavljena je 7. avgusta.

Qbot dolazi sa hVNC pluginom koji omogućava kontrolu uređaja žrtve sa daljine. Napadač može obavljati bankarske transakcije bez znanja korisnik. Modul deli veliki deo koda sa sličnim modulima kao što je TrickBotov hVNC.

I to nije sve. Qbot je takođe opremljen posebnim mehanizmom za regrutovanje kompromitovanih računara u bot mrežu.

S obzirom da Qbot uzima legitimne emailove za širenje malvera, neophodno je da korisnici budu oprezni čak i u slučajevima kada se čini da emailovi dolaze iz pouzdanog izvora.

“Naše istraživanje pokazuje kako čak i starije verzije malvera mogu biti ažurirane novim funkcijama kako bi postali opasna i trajna pretnja”, kažu istraživači iz Check Point Researcha, dodajući da oni koji stoje iza Qbota puno ulažu u njegov razvoj kako bi omogućili masovnu krađu podataka od organizacija i pojedinaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje