Pratite nas preko RSS-aBankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca
Opisi virusa, 28.08.2020, 11:00 AM
Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu sa kojima napada vladin, vojni i proizvodni sektor u SAD i Evropi.
U analizi koju je objavio Check Point Research, čini se da se najnoviji talas aktivnosti Qbota povezan sa povratkom Emoteta, malvera koji stoji iza nekoliko spam kampanja i napada ransomwarea prošlog meseca.
Qbot je mnogo opasniji nego što je bio ranije - ima aktivnu kampanju sa malicioznim oglasima i koristi infrastrukturu Emoteta za dalje širenje.
Qbot (QuakBot, QakBot ili Pinkslipbot) je otkriven 2008. godine a tokom godina je evoluirao od malvera koji krade informacije do malvera koji isporučuje druge malvere, kao što je ransomware Prolock, a čak se i daljinski povezuje sa ciljanim Windows sistemom da bi obavljao bankarske transakcije sa IP adrese žrtve.
Napadači obično zaraze žrtve fišingom da bi ih namamili na veb sajtove koji koriste exploite da bi ubacili Qbot pomoću droppera.
Infekcija započinje fišing emailom koji sadrži ZIP fajl ili link do ZIP fajla koji sadrži zlonamerni Visual Basic Script (VBS) koji zatim preuzima dodatni payload odgovoran za održavanje odgovarajućeg kanala komunikacije sa napadačem i izvršavanje primljenih komandi.
Značajno je da lažni emailovi koji se šalju organizacijama, a u kojima se kao mamac koristi COVID-19, podsetnik o plaćanju poreza ili su u vezi zaposlenja, ne uključuju samo zlonamerni sadržaj, već sadrže i arhiviranu prepisku između dve strane kako bi izgledali uverljivije.
Da bi se to postiglo, razgovori se prethodno prikupljaju pomoću modula za prikupljanje emailova koji izvlači sve emailove iz žrtvinog Outlooka i šalje ih na server.
Distributeri Qbota objavili su čak 15 verzija malvera od početka godine, a poslednja poznata verzija objavljena je 7. avgusta.
Qbot dolazi sa hVNC pluginom koji omogućava kontrolu uređaja žrtve sa daljine. Napadač može obavljati bankarske transakcije bez znanja korisnik. Modul deli veliki deo koda sa sličnim modulima kao što je TrickBotov hVNC.
I to nije sve. Qbot je takođe opremljen posebnim mehanizmom za regrutovanje kompromitovanih računara u bot mrežu.
S obzirom da Qbot uzima legitimne emailove za širenje malvera, neophodno je da korisnici budu oprezni čak i u slučajevima kada se čini da emailovi dolaze iz pouzdanog izvora.
“Naše istraživanje pokazuje kako čak i starije verzije malvera mogu biti ažurirane novim funkcijama kako bi postali opasna i trajna pretnja”, kažu istraživači iz Check Point Researcha, dodajući da oni koji stoje iza Qbota puno ulažu u njegov razvoj kako bi omogućili masovnu krađu podataka od organizacija i pojedinaca.
Izdvojeno
Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer
Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami po... Dalje
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Pratite nas
Nagrade
Prijatelji
