Qbot's nieuwe versie kan e-mailthreads kapen

Qbot Latest Version Hijacks Email Threads

Het online dreigingslandschap is een heel eigenaardige plek. Het verschuift en verandert de hele tijd, en we zien nieuwe namen binnenkomen terwijl oude elke dag afhaken. In het licht van dit alles zou je kunnen verwachten dat een malwarefamilie die meer dan tien jaar geleden verscheen, nu niets meer is dan een verre herinnering. Zoals de onderzoekers van Check Point gisteren opmerkten, is de Qbot-banktrojan het bewijs dat dit niet altijd het geval is.

Ook bekend als QakBot, verscheen het voor het eerst in 2008, maar twaalf jaar later gaat het nog steeds goed. Aanvankelijk draaide de functionaliteit van Qbot om het stelen van bankwachtwoorden en andere gevoelige gegevens, maar zoals de onderzoekers opmerkten, heeft het in de loop der jaren zo'n breed scala aan extra functies gekregen dat het soms wordt aangeduid als het 'Zwitserse zakmes' van malware. . Dit betekent echter niet dat de auteurs van Qbot hier zullen stoppen. In feite was het doel van het rapport van Check Point om de meest recente updates van de trojan te beschrijven.

Je kunt een oude bot nieuwe trucjes leren

Tussen maart en juni zat Qbot midden in een grote campagne, maar het verspreidde zich toen niet meer en de experts dachten dat de operators van de malware het een pauze hadden gegeven om enkele tweaks en aanpassingen toe te voegen. Ze verwachtten dat de update wat langer zou duren, maar eind juli startte de beruchte Emotet-trojan een enorme malspam-campagne en veel van de kwaadaardige berichten bevatten een nieuwe versie van Qbot. Binnen een paar dagen brachten de operators van Qbot weer een nieuwe versie uit, met nog meer nieuwe functies. Het is een grote campagne en dankzij een nieuwe module willen de hackers ervoor zorgen dat een groot deel van de mensen die de e-mail ontvangen, geïnfecteerd raakt met de malware.

Voor het grootste deel is de infectie vrijwel een standaard Qbot-operatie. Het slachtoffer ontvangt een e-mail met een link naar een ZIP-archief dat wordt gehost op een gecompromitteerde WordPress-website. In de ZIP vindt de gebruiker een bestand dat, indien geopend, de infectie veroorzaakt. Tot april plaatsten de operators van Qbot macro-geregen Word-documenten in de kwaadaardige ZIP's, maar sindsdien zijn ze overgeschakeld naar Visual Basic Scripts (VBS). De VBS neemt contact op met een van de distributiesites en downloadt de initiële payload, die de scène bepaalt voor de eigenlijke trojan. De initiële payload voert een aantal controles uit om ervoor te zorgen dat deze niet in een sandbox-omgeving wordt uitgevoerd en brengt enkele registerwijzigingen aan om persistentie te bereiken. Eindelijk, als het zeker is dat het veilig is om door te gaan, wordt de belangrijkste Qbot-payload geïmplementeerd.

De meest recente updates hebben niet echt grote veranderingen gebracht. Qbot kan nog steeds wachtwoorden, creditcardgegevens en andere gevoelige informatie stelen. Het kan inloggen op de bankrekening van het slachtoffer en namens hen transacties uitvoeren, en het kan ook andere malwarestammen installeren als dit wordt gevraagd.

De experts zeiden dat ze een aantal andere modules zagen die helpen bij zijwaartse beweging over een netwerk, maar ze besloten er niet op uit te werken omdat ze een nieuwe functionaliteit zagen die opmerkelijker was.

Qbot kan uw e-mailconversaties kapen

De nieuwe module is ontworpen om hele threads te stelen van de Outlook-e-mailclients van het slachtoffer. Dit is al slecht nieuws, want hoewel experts hebben gewaarschuwd voor de gevaren van het delen van gevoelige informatie via e-mail, blijven mensen hun berichten vullen met gegevens die extreme schade kunnen aanrichten als deze in verkeerde handen vallen.

De hackers stelen echter niet de e-mailthreads van mensen omdat ze de informatie erin willen hebben. Ze doen het zodat ze kunnen antwoorden namens het slachtoffer dat al is geïnfecteerd met Qbot en de andere deelnemer aan het gesprek kunnen misleiden om ook de malware te installeren. De experts van Check Point zeiden dat ze hebben gezien hoe de boeven e-mailthreads kapen en kwaadaardige links stuurden in berichten die draaiden rond alles van de COVID-19-pandemie tot herinneringen voor belastingbetalingen.

Dit is een van de slimste acties van hackers. Mensen zijn nu op hun hoede voor e-mails die malware verspreiden, en ze zijn meestal wat voorzichtiger met de berichten die ze in hun inbox vinden. Als de links echter afkomstig zijn van een persoon die ze kennen en waarmee ze al hebben gecommuniceerd, is de kans veel groter dat de doelen erop klikken.

De laatste update van Qbot verandert niets aan de hoofdfunctionaliteit van de malware, maar desondanks laat het zien dat de operators het nog lang niet hebben opgegeven. Hoewel het nu meer dan een decennium oud is, is het formidabeler dan ooit.

Tegen Duran
August 28, 2020
News
Nederlands
August 28, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.