Qbot's nieuwe versie kan e-mailthreads kapen

Qbot Latest Version Hijacks Email Threads

Het online dreigingslandschap is een heel eigenaardige plek. Het verschuift en verandert de hele tijd, en we zien nieuwe namen binnenkomen terwijl oude elke dag afhaken. In het licht van dit alles zou je kunnen verwachten dat een malwarefamilie die meer dan tien jaar geleden verscheen, nu niets meer is dan een verre herinnering. Zoals de onderzoekers van Check Point gisteren opmerkten, is de Qbot-banktrojan het bewijs dat dit niet altijd het geval is.

Ook bekend als QakBot, verscheen het voor het eerst in 2008, maar twaalf jaar later gaat het nog steeds goed. Aanvankelijk draaide de functionaliteit van Qbot om het stelen van bankwachtwoorden en andere gevoelige gegevens, maar zoals de onderzoekers opmerkten, heeft het in de loop der jaren zo'n breed scala aan extra functies gekregen dat het soms wordt aangeduid als het 'Zwitserse zakmes' van malware. . Dit betekent echter niet dat de auteurs van Qbot hier zullen stoppen. In feite was het doel van het rapport van Check Point om de meest recente updates van de trojan te beschrijven.

Je kunt een oude bot nieuwe trucjes leren

Tussen maart en juni zat Qbot midden in een grote campagne, maar het verspreidde zich toen niet meer en de experts dachten dat de operators van de malware het een pauze hadden gegeven om enkele tweaks en aanpassingen toe te voegen. Ze verwachtten dat de update wat langer zou duren, maar eind juli startte de beruchte Emotet-trojan een enorme malspam-campagne en veel van de kwaadaardige berichten bevatten een nieuwe versie van Qbot. Binnen een paar dagen brachten de operators van Qbot weer een nieuwe versie uit, met nog meer nieuwe functies. Het is een grote campagne en dankzij een nieuwe module willen de hackers ervoor zorgen dat een groot deel van de mensen die de e-mail ontvangen, geïnfecteerd raakt met de malware.

Voor het grootste deel is de infectie vrijwel een standaard Qbot-operatie. Het slachtoffer ontvangt een e-mail met een link naar een ZIP-archief dat wordt gehost op een gecompromitteerde WordPress-website. In de ZIP vindt de gebruiker een bestand dat, indien geopend, de infectie veroorzaakt. Tot april plaatsten de operators van Qbot macro-geregen Word-documenten in de kwaadaardige ZIP's, maar sindsdien zijn ze overgeschakeld naar Visual Basic Scripts (VBS). De VBS neemt contact op met een van de distributiesites en downloadt de initiële payload, die de scène bepaalt voor de eigenlijke trojan. De initiële payload voert een aantal controles uit om ervoor te zorgen dat deze niet in een sandbox-omgeving wordt uitgevoerd en brengt enkele registerwijzigingen aan om persistentie te bereiken. Eindelijk, als het zeker is dat het veilig is om door te gaan, wordt de belangrijkste Qbot-payload geïmplementeerd.

De meest recente updates hebben niet echt grote veranderingen gebracht. Qbot kan nog steeds wachtwoorden, creditcardgegevens en andere gevoelige informatie stelen. Het kan inloggen op de bankrekening van het slachtoffer en namens hen transacties uitvoeren, en het kan ook andere malwarestammen installeren als dit wordt gevraagd.

De experts zeiden dat ze een aantal andere modules zagen die helpen bij zijwaartse beweging over een netwerk, maar ze besloten er niet op uit te werken omdat ze een nieuwe functionaliteit zagen die opmerkelijker was.

Qbot kan uw e-mailconversaties kapen

De nieuwe module is ontworpen om hele threads te stelen van de Outlook-e-mailclients van het slachtoffer. Dit is al slecht nieuws, want hoewel experts hebben gewaarschuwd voor de gevaren van het delen van gevoelige informatie via e-mail, blijven mensen hun berichten vullen met gegevens die extreme schade kunnen aanrichten als deze in verkeerde handen vallen.

De hackers stelen echter niet de e-mailthreads van mensen omdat ze de informatie erin willen hebben. Ze doen het zodat ze kunnen antwoorden namens het slachtoffer dat al is geïnfecteerd met Qbot en de andere deelnemer aan het gesprek kunnen misleiden om ook de malware te installeren. De experts van Check Point zeiden dat ze hebben gezien hoe de boeven e-mailthreads kapen en kwaadaardige links stuurden in berichten die draaiden rond alles van de COVID-19-pandemie tot herinneringen voor belastingbetalingen.

Dit is een van de slimste acties van hackers. Mensen zijn nu op hun hoede voor e-mails die malware verspreiden, en ze zijn meestal wat voorzichtiger met de berichten die ze in hun inbox vinden. Als de links echter afkomstig zijn van een persoon die ze kennen en waarmee ze al hebben gecommuniceerd, is de kans veel groter dat de doelen erop klikken.

De laatste update van Qbot verandert niets aan de hoofdfunctionaliteit van de malware, maar desondanks laat het zien dat de operators het nog lang niet hebben opgegeven. Hoewel het nu meer dan een decennium oud is, is het formidabeler dan ooit.

August 28, 2020

Laat een antwoord achter