Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Opisi virusa, 28.08.2020, 11:00 AM

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu sa kojima napada vladin, vojni i proizvodni sektor u SAD i Evropi.

U analizi koju je objavio Check Point Research, čini se da se najnoviji talas aktivnosti Qbota povezan sa povratkom Emoteta, malvera koji stoji iza nekoliko spam kampanja i napada ransomwarea prošlog meseca.

Qbot je mnogo opasniji nego što je bio ranije - ima aktivnu kampanju sa malicioznim oglasima i koristi infrastrukturu Emoteta za dalje širenje.

Qbot (QuakBot, QakBot ili Pinkslipbot) je otkriven 2008. godine a tokom godina je evoluirao od malvera koji krade informacije do malvera koji isporučuje druge malvere, kao što je ransomware Prolock, a čak se i daljinski povezuje sa ciljanim Windows sistemom da bi obavljao bankarske transakcije sa IP adrese žrtve.

Napadači obično zaraze žrtve fišingom da bi ih namamili na veb sajtove koji koriste exploite da bi ubacili Qbot pomoću droppera.

Infekcija započinje fišing emailom koji sadrži ZIP fajl ili link do ZIP fajla koji sadrži zlonamerni Visual Basic Script (VBS) koji zatim preuzima dodatni payload odgovoran za održavanje odgovarajućeg kanala komunikacije sa napadačem i izvršavanje primljenih komandi.

Značajno je da lažni emailovi koji se šalju organizacijama, a u kojima se kao mamac koristi COVID-19, podsetnik o plaćanju poreza ili su u vezi zaposlenja, ne uključuju samo zlonamerni sadržaj, već sadrže i arhiviranu prepisku između dve strane kako bi izgledali uverljivije.

Da bi se to postiglo, razgovori se prethodno prikupljaju pomoću modula za prikupljanje emailova koji izvlači sve emailove iz žrtvinog Outlooka i šalje ih na server.

Distributeri Qbota objavili su čak 15 verzija malvera od početka godine, a poslednja poznata verzija objavljena je 7. avgusta.

Qbot dolazi sa hVNC pluginom koji omogućava kontrolu uređaja žrtve sa daljine. Napadač može obavljati bankarske transakcije bez znanja korisnik. Modul deli veliki deo koda sa sličnim modulima kao što je TrickBotov hVNC.

I to nije sve. Qbot je takođe opremljen posebnim mehanizmom za regrutovanje kompromitovanih računara u bot mrežu.

S obzirom da Qbot uzima legitimne emailove za širenje malvera, neophodno je da korisnici budu oprezni čak i u slučajevima kada se čini da emailovi dolaze iz pouzdanog izvora.

“Naše istraživanje pokazuje kako čak i starije verzije malvera mogu biti ažurirane novim funkcijama kako bi postali opasna i trajna pretnja”, kažu istraživači iz Check Point Researcha, dodajući da oni koji stoje iza Qbota puno ulažu u njegov razvoj kako bi omogućili masovnu krađu podataka od organizacija i pojedinaca.