Новая версия Qbot может перехватывать цепочки писем

Ландшафт сетевых угроз - очень своеобразное место. Он постоянно меняется и меняется, и мы видим, как появляются новые имена, а старые исчезают каждый божий день. В свете всего этого можно было ожидать, что семейство вредоносных программ, появившееся более десяти лет назад, теперь будет не чем иным, как далеким воспоминанием. Однако, как вчера отметили исследователи Check Point, банковский троян Qbot является доказательством того, что это не всегда так.

Также известный как QakBot, он впервые появился в 2008 году, но спустя двенадцать лет он все еще популярен. Первоначально функциональность Qbot заключалась в краже банковских паролей и других конфиденциальных данных, но, как отметили исследователи, с годами он приобрел такой разнообразный набор дополнительных функций, что его иногда называют «швейцарским армейским ножом» вредоносного ПО. . Однако это не означает, что авторы Qbot собираются останавливаться на достигнутом. Фактически, целью отчета Check Point было подробное описание последних обновлений троянца.

Вы можете научить старого бота новым трюкам

В период с марта по июнь Qbot был в центре большой кампании, но затем прекратил распространение, и эксперты подумали, что операторы вредоносной программы дали ему передышку, чтобы добавить некоторые настройки и корректировки. Они ожидали, что обновление займет немного больше времени, но в конце июля печально известный троян Emotet начал массовую кампанию по распространению вредоносного спама, и многие вредоносные сообщения содержали новую версию Qbot. В считанные дни операторы Qbot выпустили еще одну версию с еще большим количеством новых функций. Это масштабная кампания, и благодаря новому модулю хакеры хотят убедиться, что большая часть людей, получающих электронное письмо, в конечном итоге будет заражена вредоносным ПО.

По большей части, заражение - это стандартная операция Qbot. Жертва получает электронное письмо со ссылкой на ZIP-архив, размещенный на взломанном веб-сайте WordPress. Внутри ZIP-архива пользователь находит файл, открытие которого запускает заражение. Вплоть до апреля операторы Qbot помещали документы Word с макросами во вредоносные ZIP-файлы, но с тех пор они перешли на сценарии Visual Basic (VBS). VBS связывается с одним из сайтов распространения и загружает начальную полезную нагрузку, которая устанавливает сцену для реального трояна. Первоначальная полезная нагрузка выполняет несколько проверок, чтобы убедиться, что она не работает в среде песочницы, и вносит некоторые изменения в реестр для достижения устойчивости. Наконец, когда он уверен, что продолжить безопасно, он развертывает основную полезную нагрузку Qbot.

Последние обновления особо серьезных изменений не внесли. Qbot по-прежнему может красть пароли, данные кредитной карты и другую конфиденциальную информацию. Он может входить в банковский счет жертвы и совершать транзакции от ее имени, а также может устанавливать другие вредоносные программы, если получит соответствующее указание.

Эксперты сказали, что они видели некоторые другие модули, которые помогают с боковым перемещением по сети, но они решили не вдаваться в подробности о них, потому что они увидели новую функциональность, которая была более примечательной.

Qbot может перехватить вашу электронную переписку

Новый модуль предназначен для кражи целых потоков из почтовых клиентов Outlook жертвы. Это уже плохая новость, потому что, хотя эксперты предупреждают об опасности обмена конфиденциальной информацией по электронной почте, люди продолжают заполнять свои сообщения данными, которые могут нанести серьезный ущерб, если попадут в чужие руки.

Однако хакеры воруют электронные письма людей не потому, что им нужна информация внутри них. Они делают это для того, чтобы ответить от имени жертвы, которая уже была заражена Qbot, и обманом заставить другого участника беседы установить вредоносное ПО. Эксперты Check Point заявили, что они видели, как мошенники перехватывали цепочки писем и отправляли вредоносные ссылки в сообщениях, касающихся чего угодно - от пандемии COVID-19 до напоминаний о налоговых выплатах.

Это один из самых умных ходов хакеров. Люди теперь достаточно настороженно относятся к электронным письмам, которые распространяют вредоносные программы, и, как правило, более осторожны с сообщениями, которые находят в своих почтовых ящиках. Однако, если ссылки исходят от человека, которого они знают и с которым уже общались, жертвы с гораздо большей вероятностью нажмут на них.

Последнее обновление Qbot не меняет основную функциональность вредоносного ПО, но, несмотря на это, показывает, что его операторы далеко не отказались от него. Хотя ему уже более десяти лет, он более грозен, чем когда-либо.