Qbots nye version kan kapre e-mail-tråde
Online trusselandskab er et meget ejendommeligt sted. Det skifter og ændres hele tiden, og vi ser nye navne komme ind, mens gamle falder ud hver eneste dag. I lyset af alt dette kunne du måske forvente, at en malware-familie, der optrådte for mere end ti år siden, nu ikke ville være mere end en fjern hukommelse. Som Check Point- forskere påpegede i går, er Qbot-banktrojan imidlertid et bevis på, at dette ikke altid er tilfældet.
Også kendt som QakBot, den optrådte først i 2008, men tolv år på, går den stadig stærkt. Oprindeligt drejede Qbots funktionalitet sig om at stjæle bankadgangskoder og andre følsomme data, men som forskerne påpegede, har det i årenes løb fået en så mangfoldig række yderligere funktioner, at det undertiden benævnes "schweiziske hærkniv" af malware . Dette betyder dog ikke, at Qbots forfattere stopper her. Faktisk var formålet med Check Point's rapport at detaljerede trojans seneste opdateringer.
Du kan lære en gammel bot nye tricks
Mellem marts og juni var Qbot midt i en stor kampagne, men det stoppede derefter med at sprede sig, og eksperterne troede, at malware-operatørerne havde givet den en pause for at tilføje nogle justeringer og justeringer. De forventede, at opdateringen skulle tage lidt længere tid, men i slutningen af juli startede den berygtede Emotet-trojan en massiv malspam-kampagne, og mange af de ondsindede meddelelser førte en ny version af Qbot. I løbet af få dage frigav Qbots operatører endnu en version med endnu flere nye funktioner. Det er en stor kampagne, og takket være et nyt modul ønsker hackerne at sikre, at en stor del af de mennesker, der modtager e-mailen, ender med at blive inficeret med malware.
For det meste er infektionen stort set en standard Qbot-operation. Offeret modtager en e-mail med et link til et ZIP-arkiv, der er vært på et kompromitteret WordPress-websted. Inde i ZIP finder brugeren en fil, der, hvis den åbnes, udløser infektionen. Frem til april lægger Qbots operatører makro-snørrede Word-dokumenter i de ondsindede ZIP'er, men de er siden skiftet til Visual Basic Scripts (VBS). VBS kontakter et af distributionssiderne og downloader den indledende nyttelast, der indstiller scenen for den faktiske trojan. Den oprindelige nyttelast udfører et par kontroller for at sikre, at den ikke kører i et sandkassemiljø og foretager nogle registerændringer for at opnå vedholdenhed. Endelig, når det er sikker på, at det er sikkert at fortsætte, ophæver det den største Qbot-nyttelast.
De seneste opdateringer medførte ikke rigtig store ændringer. Qbot kan stadig stjæle adgangskoder, kreditkortoplysninger og andre følsomme oplysninger. Det kan logge på offerets bankkonto og foretage transaktioner på deres vegne, og det kan også installere andre malware-stammer, hvis det bliver bedt om det.
Eksperterne sagde, at de så nogle andre moduler, der hjælper med lateral bevægelse over et netværk, men de besluttede ikke at uddybe dem, fordi de så en ny funktionalitet, der var mere bemærkelsesværdig.
Qbot kan kapre dine e-mail-samtaler
Det nye modul er designet til at stjæle hele tråde fra offerets Outlook-e-mail-klienter. Dette er allerede dårlige nyheder, selv om eksperter har advaret om farerne ved at dele følsomme oplysninger via e-mail, fortsætter folk med at udfylde deres beskeder med data, der kan forårsage ekstrem skade, hvis de falder i de forkerte hænder.
Hackerne stjæler ikke folks e-mail-tråde, fordi de imidlertid ønsker informationen inde i dem. De gør det, så de kan svare på vegne af offeret, der allerede er inficeret med Qbot og narre den anden deltager i samtalen til også at installere malware. Check Punkts eksperter sagde, at de har set skurkerne kapre e-mail-tråde og sende ondsindede links i meddelelser, der drejer sig om alt fra COVID-19-pandemien til skattemæssige påmindelser.
Dette er et af hackernes klogeste træk. Folk er nu opmærksomme på e-mails, der distribuerer malware, og de er tilbøjelige til at være lidt mere forsigtige med de meddelelser, de finder i deres indbakke. Hvis linkene kommer fra en person, de kender og allerede har kommunikeret med, er det imidlertid meget mere sandsynligt, at målene klikker på dem.
Qbots seneste opdatering ændrer ikke malware's hovedfunktionalitet, men trods dette viser den, at dens operatører langt fra har givet op om det. Selvom den nu er mere end et årti gammel, er den mere formidabel end nogensinde.
