Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Opisi virusa, 28.08.2020, 11:00 AM

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu sa kojima napada vladin, vojni i proizvodni sektor u SAD i Evropi.

U analizi koju je objavio Check Point Research, čini se da se najnoviji talas aktivnosti Qbota povezan sa povratkom Emoteta, malvera koji stoji iza nekoliko spam kampanja i napada ransomwarea prošlog meseca.

Qbot je mnogo opasniji nego što je bio ranije - ima aktivnu kampanju sa malicioznim oglasima i koristi infrastrukturu Emoteta za dalje širenje.

Qbot (QuakBot, QakBot ili Pinkslipbot) je otkriven 2008. godine a tokom godina je evoluirao od malvera koji krade informacije do malvera koji isporučuje druge malvere, kao što je ransomware Prolock, a čak se i daljinski povezuje sa ciljanim Windows sistemom da bi obavljao bankarske transakcije sa IP adrese žrtve.

Napadači obično zaraze žrtve fišingom da bi ih namamili na veb sajtove koji koriste exploite da bi ubacili Qbot pomoću droppera.

Infekcija započinje fišing emailom koji sadrži ZIP fajl ili link do ZIP fajla koji sadrži zlonamerni Visual Basic Script (VBS) koji zatim preuzima dodatni payload odgovoran za održavanje odgovarajućeg kanala komunikacije sa napadačem i izvršavanje primljenih komandi.

Značajno je da lažni emailovi koji se šalju organizacijama, a u kojima se kao mamac koristi COVID-19, podsetnik o plaćanju poreza ili su u vezi zaposlenja, ne uključuju samo zlonamerni sadržaj, već sadrže i arhiviranu prepisku između dve strane kako bi izgledali uverljivije.

Da bi se to postiglo, razgovori se prethodno prikupljaju pomoću modula za prikupljanje emailova koji izvlači sve emailove iz žrtvinog Outlooka i šalje ih na server.

Distributeri Qbota objavili su čak 15 verzija malvera od početka godine, a poslednja poznata verzija objavljena je 7. avgusta.

Qbot dolazi sa hVNC pluginom koji omogućava kontrolu uređaja žrtve sa daljine. Napadač može obavljati bankarske transakcije bez znanja korisnik. Modul deli veliki deo koda sa sličnim modulima kao što je TrickBotov hVNC.

I to nije sve. Qbot je takođe opremljen posebnim mehanizmom za regrutovanje kompromitovanih računara u bot mrežu.

S obzirom da Qbot uzima legitimne emailove za širenje malvera, neophodno je da korisnici budu oprezni čak i u slučajevima kada se čini da emailovi dolaze iz pouzdanog izvora.

“Naše istraživanje pokazuje kako čak i starije verzije malvera mogu biti ažurirane novim funkcijama kako bi postali opasna i trajna pretnja”, kažu istraživači iz Check Point Researcha, dodajući da oni koji stoje iza Qbota puno ulažu u njegov razvoj kako bi omogućili masovnu krađu podataka od organizacija i pojedinaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje