Η νέα έκδοση του Qbot μπορεί να παραβιάσει θέματα μέσω email

Το διαδικτυακό τοπίο απειλών είναι ένα πολύ περίεργο μέρος. Αλλάζει και αλλάζει συνεχώς, και βλέπουμε να εισέρχονται νέα ονόματα, ενώ τα παλιά στέκονται κάθε μέρα. Υπό το πρίσμα όλων αυτών, ίσως περιμένετε ότι μια οικογένεια κακόβουλου λογισμικού που εμφανίστηκε πριν από δέκα χρόνια δεν θα ήταν τίποτα περισσότερο από μια μακρινή μνήμη. Όπως επεσήμαναν χθες οι ερευνητές του Check Point, ωστόσο, το trojan Qbot banking είναι απόδειξη ότι αυτό δεν συμβαίνει πάντα.

Επίσης γνωστό ως QakBot, εμφανίστηκε για πρώτη φορά το 2008, αλλά δώδεκα χρόνια μετά, συνεχίζει να είναι ισχυρό. Αρχικά, η λειτουργικότητα του Qbot περιστράφηκε γύρω από την κλοπή τραπεζικών κωδικών πρόσβασης και άλλων ευαίσθητων δεδομένων, αλλά όπως επεσήμαναν οι ερευνητές, με την πάροδο των ετών, έχει αποκτήσει ένα τόσο διαφορετικό φάσμα πρόσθετων χαρακτηριστικών, που μερικές φορές αναφέρεται ως το "μαχαίρι ελβετικού στρατού" κακόβουλου λογισμικού . Αυτό δεν σημαίνει ότι οι συγγραφείς του Qbot πρόκειται να σταματήσουν εδώ. Στην πραγματικότητα, ο σκοπός της έκθεσης Check Point ήταν να αναλύσει τις πιο πρόσφατες ενημερώσεις του trojan.

Μπορείτε να διδάξετε ένα παλιό bot νέα κόλπα

Μεταξύ Μαρτίου και Ιουνίου, το Qbot βρισκόταν στη μέση μιας μεγάλης καμπάνιας, αλλά στη συνέχεια σταμάτησε να εξαπλώνεται και οι ειδικοί πίστευαν ότι οι χειριστές του κακόβουλου λογισμικού είχαν δώσει ένα διάλειμμα για να προσθέσουν κάποιες αλλαγές και προσαρμογές. Περίμεναν ότι η ενημέρωση θα διαρκέσει λίγο περισσότερο, αλλά στα τέλη Ιουλίου, ο περίφημος trojan Emotet ξεκίνησε μια τεράστια εκστρατεία malspam και πολλά από τα κακόβουλα μηνύματα έφεραν μια νέα έκδοση του Qbot. Σε λίγες μέρες, οι χειριστές της Qbot κυκλοφόρησαν μια ακόμη έκδοση, με ακόμη περισσότερες νέες δυνατότητες. Είναι μια μεγάλη καμπάνια και χάρη σε μια νέα ενότητα, οι χάκερ θέλουν να διασφαλίσουν ότι μεγάλο μέρος των ατόμων που λαμβάνουν το email θα καταλήξουν να μολυνθούν από το κακόβουλο λογισμικό.

Ως επί το πλείστον, η λοίμωξη είναι σχεδόν μια τυπική επέμβαση Qbot. Το θύμα λαμβάνει ένα email με έναν σύνδεσμο προς ένα αρχείο ZIP που φιλοξενείται σε έναν ιστότοπο WordPress που έχει παραβιαστεί. Μέσα στο ZIP, ο χρήστης βρίσκει ένα αρχείο που, εάν ανοίξει, ενεργοποιεί τη μόλυνση. Μέχρι τον Απρίλιο, οι χειριστές του Qbot έβαλαν έγγραφα Word με μακροεντολές στο εσωτερικό των κακόβουλων ZIP, αλλά έκτοτε έχουν αλλάξει σε Visual Basic Scripts (VBS). Το VBS έρχεται σε επαφή με έναν από τους ιστότοπους διανομών και κατεβάζει το αρχικό ωφέλιμο φορτίο, το οποίο καθορίζει τη σκηνή για το πραγματικό trojan. Το αρχικό ωφέλιμο φορτίο εκτελεί μερικούς ελέγχους για να διασφαλίσει ότι δεν εκτελείται σε περιβάλλον sandbox και κάνει κάποιες αλλαγές στο μητρώο για να επιτύχει την επιμονή. Τέλος, όταν είναι σίγουρο ότι είναι ασφαλές να συνεχιστεί, αναπτύσσει το κύριο ωφέλιμο φορτίο Qbot.

Οι πιο πρόσφατες ενημερώσεις δεν έφεραν πραγματικά σημαντικές αλλαγές. Το Qbot μπορεί ακόμα να κλέψει κωδικούς πρόσβασης, στοιχεία πιστωτικής κάρτας και άλλες ευαίσθητες πληροφορίες. Μπορεί να συνδεθεί στον τραπεζικό λογαριασμό του θύματος και να πραγματοποιήσει συναλλαγές εκ μέρους του και μπορεί επίσης να εγκαταστήσει άλλα στελέχη κακόβουλου λογισμικού, εάν του ζητηθεί.

Οι ειδικοί είπαν ότι είδαν κάποιες άλλες ενότητες που βοηθούν στην πλευρική μετακίνηση σε ένα δίκτυο, αλλά αποφάσισαν να μην τις επεξεργαστούν επειδή είδαν μια νέα λειτουργικότητα που ήταν πιο αξιοσημείωτη.

Το Qbot μπορεί να εισβάλει στις συνομιλίες μέσω email

Η νέα ενότητα έχει σχεδιαστεί για να κλέβει ολόκληρα θέματα από τους πελάτες email Outlook του θύματος. Αυτό είναι ήδη άσχημα νέα, επειδή παρόλο που οι ειδικοί προειδοποιούν για τους κινδύνους της ανταλλαγής ευαίσθητων πληροφοριών μέσω email, οι άνθρωποι συνεχίζουν να γεμίζουν τα μηνύματά τους με δεδομένα που μπορούν να προκαλέσουν ακραία ζημιά εάν πέσει σε λάθος χέρια.

Οι χάκερ δεν κλέβουν τα νήματα email των ανθρώπων επειδή θέλουν τις πληροφορίες μέσα τους, ωστόσο. Το κάνουν έτσι ώστε να μπορούν να απαντήσουν εκ μέρους του θύματος που έχει ήδη μολυνθεί με Qbot και να εξαπατήσουν τον άλλο συμμετέχοντα στη συνομιλία να εγκαταστήσει επίσης το κακόβουλο λογισμικό. Οι ειδικοί του Check Point είπαν ότι είδαν τους απατεώνες να εισβάλλουν σε μηνύματα email και να στέλνουν κακόβουλους συνδέσμους σε μηνύματα που περιστρέφονται γύρω από οτιδήποτε, από την πανδημία COVID-19 έως τις υπενθυμίσεις πληρωμής.

Αυτή είναι μια από τις πιο έξυπνες κινήσεις των χάκερ. Οι άνθρωποι είναι πλέον αρκετά προσεκτικοί σχετικά με τα μηνύματα ηλεκτρονικού ταχυδρομείου που διανέμουν κακόβουλα προγράμματα και τείνουν να είναι λίγο πιο προσεκτικά με τα μηνύματα που βρίσκουν στα εισερχόμενά τους. Εάν οι σύνδεσμοι προέρχονται από ένα άτομο με το οποίο γνωρίζουν και έχουν ήδη επικοινωνήσει, ωστόσο, οι στόχοι είναι πολύ πιο πιθανό να κάνουν κλικ σε αυτούς.

Η τελευταία ενημέρωση του Qbot δεν αλλάζει την κύρια λειτουργικότητα του κακόβουλου λογισμικού, αλλά παρόλα αυτά, δείχνει ότι οι χειριστές του απέχουν πολύ από αυτό. Αν και είναι πλέον περισσότερο από μια δεκαετία, είναι πιο τρομερό από ποτέ.