Nowa wersja Qbota może przechwytywać wątki e-maili

Krajobraz zagrożeń internetowych jest bardzo osobliwym miejscem. Zmienia się i zmienia cały czas i widzimy, jak pojawiają się nowe nazwiska, podczas gdy stare znikają każdego dnia. W świetle tego wszystkiego można by się spodziewać, że rodzina złośliwego oprogramowania, która pojawiła się ponad dziesięć lat temu, byłaby teraz niczym innym jak odległym wspomnieniem. Jednak, jak wczoraj zauważyli badacze Check Point, trojan bankowy Qbot jest dowodem na to, że nie zawsze tak jest.

Znany również jako QakBot, pojawił się po raz pierwszy w 2008 roku, ale dwanaście lat później nadal się rozwija. Początkowo funkcjonalność Qbota obracała się wokół kradzieży haseł bankowych i innych wrażliwych danych, ale jak zauważyli naukowcy, przez lata zyskał tak różnorodną gamę dodatkowych funkcji, że czasami jest nazywany „szwajcarskim scyzorykiem” złośliwego oprogramowania . Nie oznacza to jednak, że autorzy Qbota na tym poprzestaną. W rzeczywistości celem raportu Check Point było wyszczególnienie najnowszych aktualizacji trojana.

Możesz nauczyć starego bota nowych sztuczek

Pomiędzy marcem a czerwcem Qbot był w trakcie dużej kampanii, ale potem przestał się rozprzestrzeniać, a eksperci sądzili, że operatorzy złośliwego oprogramowania dali mu przerwę, aby wprowadzić pewne poprawki i poprawki. Spodziewali się, że aktualizacja potrwa nieco dłużej, ale pod koniec lipca niesławny trojan Emotet rozpoczął masową kampanię złośliwego spamu, a wiele złośliwych wiadomości zawierało nową wersję Qbota. W ciągu kilku dni operatorzy Qbota wypuścili kolejną wersję z jeszcze większą liczbą nowych funkcji. To duża kampania, a dzięki nowemu modułowi hakerzy chcą mieć pewność, że duża część osób, które otrzymają wiadomość e-mail, zostanie zainfekowana złośliwym oprogramowaniem.

W większości przypadków infekcja jest typową operacją Qbota. Ofiara otrzymuje wiadomość e-mail z linkiem do archiwum ZIP znajdującego się na zaatakowanej witrynie WordPress. Wewnątrz pliku ZIP użytkownik znajduje plik, którego otwarcie powoduje infekcję. Aż do kwietnia operatorzy Qbota umieszczali w złośliwych plikach ZIP dokumenty Worda z makrami, ale od tego czasu przeszli na skrypty Visual Basic (VBS). VBS kontaktuje się z jedną ze stron dystrybucji i pobiera początkowy ładunek, który ustawia scenę dla rzeczywistego trojana. Początkowy ładunek wykonuje kilka testów, aby upewnić się, że nie działa w środowisku piaskownicy i wprowadza pewne zmiany w rejestrze w celu uzyskania trwałości. Wreszcie, gdy upewni się, że kontynuowanie jest bezpieczne, wdraża główny ładunek Qbot.

Najnowsze aktualizacje tak naprawdę nie przyniosły żadnych większych zmian. Qbot nadal może kraść hasła, dane karty kredytowej i inne poufne informacje. Może logować się na konto bankowe ofiary i dokonywać transakcji w jej imieniu, a także instalować inne odmiany złośliwego oprogramowania, jeśli zostanie poinstruowany.

Eksperci powiedzieli, że widzieli kilka innych modułów, które pomagają w bocznym przemieszczaniu się w sieci, ale zdecydowali się ich nie rozwijać, ponieważ widzieli nową funkcjonalność, która była bardziej godna uwagi.

Qbot może przechwytywać rozmowy e-mailowe

Nowy moduł jest przeznaczony do kradzieży całych wątków z klientów pocztowych Outlook ofiary. To już zła wiadomość, ponieważ chociaż eksperci ostrzegają przed niebezpieczeństwami związanymi z udostępnianiem poufnych informacji przez e-mail, ludzie nadal wypełniają swoje wiadomości danymi, które mogą spowodować ogromne szkody, jeśli wpadną w niepowołane ręce.

Hakerzy nie kradną jednak wątków e-mailowych ludzi, ponieważ chcą mieć zawarte w nich informacje. Robią to, aby móc odpowiedzieć w imieniu ofiary, która została już zainfekowana Qbotem, i nakłonić innego uczestnika rozmowy do zainstalowania szkodliwego oprogramowania. Eksperci Check Point powiedzieli, że widzieli, jak oszuści porywali wątki e-mail i wysyłali złośliwe linki w wiadomościach dotyczących wszystkiego, od pandemii COVID-19 po przypomnienia o płatnościach podatkowych.

To jeden z najsprytniejszych posunięć hakerów. Ludzie są teraz wystarczająco ostrożni w stosunku do wiadomości e-mail, które rozpowszechniają złośliwe oprogramowanie, i są bardziej ostrożni w przypadku wiadomości, które znajdują w skrzynkach odbiorczych. Jeśli jednak linki pochodzą od osoby, którą znają iz którą już się komunikowali, istnieje większe prawdopodobieństwo, że osoby docelowe je klikną.

Najnowsza aktualizacja Qbota nie zmienia głównej funkcjonalności złośliwego oprogramowania, ale mimo to pokazuje, że jego operatorzy nie rezygnują z niego. Chociaż ma teraz ponad dziesięć lat, jest groźniejszy niż kiedykolwiek.