Pratite nas preko RSS-aBankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca
Opisi virusa, 28.08.2020, 11:00 AM
Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu sa kojima napada vladin, vojni i proizvodni sektor u SAD i Evropi.
U analizi koju je objavio Check Point Research, čini se da se najnoviji talas aktivnosti Qbota povezan sa povratkom Emoteta, malvera koji stoji iza nekoliko spam kampanja i napada ransomwarea prošlog meseca.
Qbot je mnogo opasniji nego što je bio ranije - ima aktivnu kampanju sa malicioznim oglasima i koristi infrastrukturu Emoteta za dalje širenje.
Qbot (QuakBot, QakBot ili Pinkslipbot) je otkriven 2008. godine a tokom godina je evoluirao od malvera koji krade informacije do malvera koji isporučuje druge malvere, kao što je ransomware Prolock, a čak se i daljinski povezuje sa ciljanim Windows sistemom da bi obavljao bankarske transakcije sa IP adrese žrtve.
Napadači obično zaraze žrtve fišingom da bi ih namamili na veb sajtove koji koriste exploite da bi ubacili Qbot pomoću droppera.
Infekcija započinje fišing emailom koji sadrži ZIP fajl ili link do ZIP fajla koji sadrži zlonamerni Visual Basic Script (VBS) koji zatim preuzima dodatni payload odgovoran za održavanje odgovarajućeg kanala komunikacije sa napadačem i izvršavanje primljenih komandi.
Značajno je da lažni emailovi koji se šalju organizacijama, a u kojima se kao mamac koristi COVID-19, podsetnik o plaćanju poreza ili su u vezi zaposlenja, ne uključuju samo zlonamerni sadržaj, već sadrže i arhiviranu prepisku između dve strane kako bi izgledali uverljivije.
Da bi se to postiglo, razgovori se prethodno prikupljaju pomoću modula za prikupljanje emailova koji izvlači sve emailove iz žrtvinog Outlooka i šalje ih na server.
Distributeri Qbota objavili su čak 15 verzija malvera od početka godine, a poslednja poznata verzija objavljena je 7. avgusta.
Qbot dolazi sa hVNC pluginom koji omogućava kontrolu uređaja žrtve sa daljine. Napadač može obavljati bankarske transakcije bez znanja korisnik. Modul deli veliki deo koda sa sličnim modulima kao što je TrickBotov hVNC.
I to nije sve. Qbot je takođe opremljen posebnim mehanizmom za regrutovanje kompromitovanih računara u bot mrežu.
S obzirom da Qbot uzima legitimne emailove za širenje malvera, neophodno je da korisnici budu oprezni čak i u slučajevima kada se čini da emailovi dolaze iz pouzdanog izvora.
“Naše istraživanje pokazuje kako čak i starije verzije malvera mogu biti ažurirane novim funkcijama kako bi postali opasna i trajna pretnja”, kažu istraživači iz Check Point Researcha, dodajući da oni koji stoje iza Qbota puno ulažu u njegov razvoj kako bi omogućili masovnu krađu podataka od organizacija i pojedinaca.
Izdvojeno
Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux
LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje
Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera
Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje
Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse
Istraživači kompanije Avast upozorili su na piratske verzije popularnih igara u koje je ubačen malver Crackonosh. Crackonosh nije novi malver. On j... Dalje
Čudni malver sprečava zaražene da posećuju piratske sajtove
Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje
Microsoft upozorio na lažni ransomware StrRAT
Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje
Pratite nas
Nagrade
Prijatelji
