A Qbot új verziója eltérítheti az e-mail szálakat
Az online veszélyhelyzet nagyon sajátos hely. Folyamatosan változik és változik, és látjuk, hogy új nevek jönnek be, míg a régiek minden nap kikerülnek. Mindezek fényében valószínűleg elvárják, hogy egy több mint tíz évvel ezelőtt megjelent malware család most már nem más, mint egy távoli memória. Amint a Check Point kutatói tegnap rámutattak, a Qbot banki trójai bizonyíték arra, hogy nem mindig ez a helyzet.
A QakBot néven is ismert, először 2008-ban jelent meg, de tizenkét év elteltével továbbra is erős. A Qbot funkcionalitása kezdetben a banki jelszavak és más érzékeny adatok ellopása köré fordult, de amint a kutatók rámutattak, az évek során olyan sokféle kiegészítő funkcióval bővült, hogy néha rosszindulatú programok „svájci hadsereg késének” hívják. . Ez azonban nem azt jelenti, hogy a Qbot szerzői itt állnak meg. Valójában a Check Point jelentésének célja a trójai legfrissebb frissítéseinek részletezése volt.
Megtaníthatsz egy régi bot új trükköket
Március és június között a Qbot egy nagy kampány közepén volt, de aztán abbahagyta a terjedését, és a szakértők úgy gondolták, hogy a rosszindulatú programok operátorai szünetet adtak neki, hogy hozzáigazítsanak néhány módosítást és kiigazítást. Arra számítottak, hogy a frissítés kissé tovább tart, de július végén a hírhedt Emotet trójai hatalmas malspam kampányt indítottak, és sok rosszindulatú üzenet a Qbot új verzióját vitte tovább. Néhány nap alatt a Qbot szolgáltatói kiadtak egy újabb verziót, még több új funkcióval. Ez egy nagy kampány, és egy új modulnak köszönhetően a hackerek azt akarják biztosítani, hogy az e-mailt megkapó emberek nagy része fertőzött a rosszindulatú programokkal.
A fertőzés nagyrészt szokásos Qbot művelet. Az áldozat e-mailt kap linkkel a veszélyeztetett WordPress webhelyen található ZIP-archívumhoz. A ZIP-n belül a felhasználó egy fájlt talál, amely megnyitása esetén megindítja a fertőzést. Áprilisáig a Qbot operátorai makró nélküli Word dokumentumokat helyeztek a rosszindulatú ZIP-ekbe, ám azóta átváltottak a Visual Basic Scripts-re (VBS). A VBS felveszi a kapcsolatot az egyik disztribúciós oldallal, és letölti a kezdeti hasznos terhet, amely meghatározza az aktuális trójai jelenetét. A kezdeti hasznos teher néhány ellenőrzést hajt végre annak biztosítása érdekében, hogy az nem homokozóban működik-e, és a tartósság elérése érdekében végrehajtja a rendszerleíró adatbázis néhány módosítását. Végül, amikor biztos abban, hogy biztonságos folytatni, telepíti a Qbot fő hasznos teherét.
A legfrissebb frissítések nem hoztak komoly változásokat. A Qbot továbbra is ellophat jelszavakat, hitelkártya-adatokat és egyéb érzékeny információkat. Be tud jelentkezni az áldozat bankszámlájára és tranzakciókat végezhet a nevükben, és telepíthet más rosszindulatú szoftverek törzsét is, ha arra utasítják.
A szakértők szerint néhány más modult is láttak, amelyek segítenek a hálózaton keresztüli oldalirányú mozgásban, ám úgy döntöttek, hogy nem fejlesztették ki őket, mert láttak egy új, még inkább figyelemre méltó funkciót.
A Qbot eltérítheti az e-mail beszélgetéseket
Az új modult úgy tervezték, hogy az összes szálat ellopja az áldozat Outlook e-mail klienseitől. Ez már rossz hír, mivel bár a szakértők figyelmeztettek az érzékeny információk e-mailen keresztüli megosztására, az emberek továbbra is olyan adatokkal töltik meg üzenetüket, amelyek rendkívüli károkat okozhatnak, ha rossz kezekbe kerülnek.
A hackerek nem lopják az emberek e-mail szálait, mert ők akarják az információkat. Úgy teszik, hogy válaszolhassanak az áldozat nevében, aki már megfertőződött a Qbot-nal, és rácsapják a beszélgetés másik résztvevőjét a malware telepítésére is. A Check Point szakértői elmondták, hogy látta, hogy az embereket eltérítik az e-mail szálak, és rosszindulatú linkeket küldenek olyan üzenetekben, amelyek körül forog a COVID-19 világjárványtól az adófizetési emlékeztetőkig.
Ez a hackerek egyik legtisztább mozdulata. Az emberek mostanában óvatosan foglalkoznak a rosszindulatú programokat terjesztő e-mailekkel, és általában kissé óvatosabbak a beérkező levelekben található üzenetekkel. Ha azonban a linkek olyan személytől származnak, akit már ismernek, és már kapcsolatba léptek vele, a célpontok sokkal nagyobb valószínűséggel kattintanak rájuk.
A Qbot legújabb frissítése nem változtatja meg a rosszindulatú programok fő funkcionalitását, ennek ellenére azt mutatja, hogy operátorai messze nem feladták azt. Bár ma már több mint egy évtized régi, félelmetes, mint valaha.