Qbotの新しいバージョンでメールのスレッドを乗っ取ることができる
オンラインの脅威の状況は非常に独特です。それは常に変化し、変化します。古い名前が毎日欠落する間に、新しい名前が入ってくるのがわかります。これらすべてを踏まえると、10年以上前に出現したマルウェアファミリは、今や遠く離れたメモリに過ぎないと期待するかもしれません。 チェックポイントの研究者が昨日指摘したように、しかし、Qbotバンキング型トロイの木馬は、これが常に当てはまるわけではないことの証拠です。
QakBotとしても知られ、2008年に最初に登場しましたが、12年経ってもまだ強力です。当初、Qbotの機能は銀行のパスワードやその他の機密データを盗むことを中心に展開されていましたが、研究者が指摘したように、長年にわたり、マルウェアの「スイスアーミーナイフ」と呼ばれるほどの多様な追加機能を獲得しています。 。ただし、これはQbotの作者がここでやめるという意味ではありません。実際、チェック・ポイントのレポートの目的は、トロイの木馬の最新のアップデートを詳しく説明することでした。
古いボットに新しいトリックを教えることができます
3月から6月にかけて、Qbotは大規模なキャンペーンの真っ只中にありましたが、その後拡散を停止し、専門家はマルウェアのオペレーターが微調整と調整を加えるために中断したと考えています。更新にはもう少し時間がかかると予想していましたが、7月下旬に悪名高いEmotetトロイの木馬が大規模なマルスパムキャンペーンを開始し、悪意のあるメッセージの多くは新しいバージョンのQbotを運びました。ほんの数日で、Qbotのオペレーターはさらに多くの新機能を備えたさらに別のバージョンをリリースしました。これは大きなキャンペーンであり、新しいモジュールのおかげで、ハッカーはメールを受信する人々の大部分がマルウェアに感染してしまうことを確実にしたいと考えています。
ほとんどの場合、感染はかなり標準的なQbot操作です。被害者は、侵害されたWordPress WebサイトでホストされているZIPアーカイブへのリンクが記載された電子メールを受信します。ユーザーは、ZIP内で、開かれた場合に感染を引き起こすファイルを見つけます。 4月まで、Qbotのオペレーターは悪意のあるZIP内にマクロレースのWord文書を配置していましたが、その後Visual Basic Scripts(VBS)に切り替えました。 VBSは配布サイトの1つに接続し、実際のトロイの木馬のシーンを設定する初期ペイロードをダウンロードします。最初のペイロードは、サンドボックス環境で実行されていないことを確認するためにいくつかのチェックを実行し、永続性を実現するためにレジストリを変更します。最後に、続行しても安全であると確信できる場合は、メインのQbotペイロードをデプロイします。
最新の更新では、大きな変更はありませんでした。 Qbotは引き続きパスワード、クレジットカードの詳細、その他の機密情報を盗むことができます。被害者の銀行口座にログインし、彼らに代わって取引を行うことができます。また、指示された場合、他のマルウェア株をインストールすることもできます。
専門家は、ネットワーク全体の横方向の移動を支援する他のいくつかのモジュールを見たと述べたが、より注目に値する新機能を見たので、それらについて詳しく説明しないことにした。
Qbotはメールの会話を乗っ取ることができます
新しいモジュールは、被害者のOutlook電子メールクライアントからスレッド全体を盗むように設計されています。専門家が電子メールで機密情報を共有することの危険性について警告しているにもかかわらず、人々がメッセージを入力し続けると、それが悪意のある人物に渡った場合に深刻な被害を引き起こす可能性があります。
ハッカーは内部の情報を必要としているため、人々の電子メールスレッドを盗んではいない。彼らは、すでにQbotに感染している被害者に代わって返信し、会話の他の参加者をだましてマルウェアをインストールするように仕向けるために、そうしています。チェック・ポイントの専門家は、詐欺師が電子メールのスレッドを乗っ取り、COVID-19のパンデミックから税金支払いのリマインダーに至るまで、メッセージに悪意のあるリンクを送信するのを見たことがあると語った。
これは、ハッカーの賢い動きの1つです。人々は今やマルウェアを配布する電子メールに十分警戒しており、受信トレイで見つけたメッセージに対してもう少し注意する傾向があります。ただし、リンクが既知の人物からのものであり、すでに通信している場合は、ターゲットがリンクをクリックする可能性がはるかに高くなります。
Qbotの最新のアップデートはマルウェアの主要な機能を変更しませんが、それにもかかわらず、そのオペレーターはそれをあきらめていません。それは今では10年以上前のものですが、これまで以上に手ごわいです。