Qbots nye versjon kan kapre e-posttråder

Det online trussellandskapet er et veldig særegent sted. Det skifter og endres hele tiden, og vi ser nye navn komme inn mens gamle dropper ut hver eneste dag. I lys av alt dette kan du forvente at en malware-familie som dukket opp for mer enn ti år siden nå ikke ville være noe annet enn et fjernt minne. Som Check Point- forskere påpekte i går, er imidlertid Qbot bank-trojan et bevis på at dette ikke alltid er tilfelle.

Også kjent som QakBot, den dukket først opp i 2008, men tolv år på går den fremdeles sterkt. Opprinnelig dreide Qbots funksjonalitet seg om å stjele bankpassord og andre sensitive data, men som forskerne påpekte, gjennom årene har den fått et så mangfoldig utvalg av tilleggsfunksjoner, at det noen ganger blir referert til som "Swiss Army kniven" av malware . Dette betyr imidlertid ikke at Qbots forfattere kommer til å stoppe her. Faktisk var formålet med Check Points rapport å detaljere trojans siste oppdateringer.

Du kan lære en gammel bot nye triks

Mellom mars og juni var Qbot midt i en stor kampanje, men den sluttet deretter å spre seg, og ekspertene trodde at malware-operatørene hadde gitt den en pause for å legge til noen justeringer og justeringer. De ventet at oppdateringen skulle ta litt lengre tid, men i slutten av juli startet den beryktede Emotet trojanen en massiv malspam-kampanje, og mange av de ondsinnede meldingene hadde en ny versjon av Qbot. I løpet av noen dager ga Qbots operatører ut enda en versjon, med enda flere nye funksjoner. Det er en stor kampanje, og takket være en ny modul ønsker hackerne å sikre at en stor del av menneskene som mottar e-posten vil ende smittet med skadelig programvare.

For det meste er infeksjonen ganske mye en standard Qbot-operasjon. Offeret mottar en e-post med lenke til et ZIP-arkiv som er vert på et kompromittert WordPress-nettsted. Inne i ZIP-en finner brukeren en fil som, hvis den åpnes, utløser infeksjonen. Fram til april satte Qbots operatører makro-snørde Word-dokumenter i de ondsinnede ZIP-ene, men de har siden gått over til Visual Basic Scripts (VBS). VBS kontakter et av distribusjonssidene og laster ned den første nyttelasten, som setter scenen for den faktiske trojanen. Den første nyttelasten utfører et par kontroller for å sikre at den ikke kjører i et sandkassemiljø og gjør noen registerendringer for å oppnå utholdenhet. Til slutt, når det er sikkert at det er trygt å fortsette, lader den ut den viktigste nyttelasten fra Qbot.

De siste oppdateringene ga ikke virkelig noen store endringer. Qbot kan fremdeles stjele passord, kredittkortdetaljer og annen sensitiv informasjon. Den kan logge seg på offerets bankkonto og foreta transaksjoner på deres vegne, og den kan også installere andre skadelige skadestammer hvis det blir bedt om det.

Ekspertene sa at de så noen andre moduler som hjelper til med lateral bevegelse over et nettverk, men de bestemte seg for ikke å utdype dem fordi de så en ny funksjonalitet som var mer bemerkelsesverdig.

Qbot kan kapre e-postsamtalene dine

Den nye modulen er laget for å stjele hele tråder fra offerets e-postklienter. Dette er allerede dårlige nyheter fordi selv om eksperter har advart om farene ved å dele sensitiv informasjon via e-post, fortsetter folk å fylle meldingene sine med data som kan forårsake ekstrem skade hvis den faller i gale hender.

Hackerne stjeler ikke folks e-posttråder fordi de ønsker informasjonen inni seg. De gjør det slik at de kan svare på vegne av offeret som allerede er infisert med Qbot og lure den andre deltakeren i samtalen til å installere skadelig programvare også. Check Points eksperter sa at de har sett skurkene kapre e-posttråder og sende ondsinnede lenker i meldinger som dreier seg om alt fra COVID-19-pandemien til påminnelser om skattebetaling.

Dette er et av hackernes smarteste trekk. Folk er nå på vakt mot nok av e-poster som distribuerer skadelig programvare, og de pleier å være litt mer forsiktige med meldingene de finner i innboksen. Hvis koblingene kommer fra en person de kjenner og allerede har kommunisert med, er det imidlertid mye mer sannsynlig at målene klikker på dem.

Qbots siste oppdatering endrer ikke hovedfunksjonaliteten til skadelig programvare, men til tross for dette viser den at operatørene har langt fra gitt opp det. Selv om den nå er mer enn ti år gammel, er den mer formidabel enn noen gang.