Qbots nya version kan kapa e-posttrådar

Qbot Latest Version Hijacks Email Threads

Onlinehot-landskapet är en mycket speciell plats. Det växlar och förändras hela tiden, och vi ser att nya namn kommer in medan gamla släpps ut varje dag. Mot bakgrund av allt detta kan du förvänta dig att en skadlig familj som dök upp för mer än tio år sedan nu skulle vara något annat än ett avlägset minne. Som Check Point- forskare påpekade igår är emellertid Qbot banks trojan ett bevis på att detta inte alltid är fallet.

Även känd som QakBot, den dök upp först 2008, men tolv år pågår den fortfarande stark. Ursprungligen kretsade Qbots funktionalitet kring att stjäla banklösenord och annan känslig information, men som forskarna påpekade har det under åren fått så många olika funktioner, att det ibland kallas "schweiziska armékniven" av skadlig programvara . Detta betyder dock inte att Qbots författare kommer att sluta här. I själva verket var syftet med Check Points rapport att detaljera trojanens senaste uppdateringar.

Du kan lära en gammal bot nya trick

Mellan mars och juni var Qbot mitt i en stor kampanj, men det slutade sedan sprida sig, och experterna trodde att skadeprogrammets operatörer hade gett det en paus för att lägga till några justeringar och justeringar. De väntade sig på att uppdateringen skulle ta lite längre tid, men i slutet av juli startade den ökända Emotet-trojanen en massiv malspam-kampanj, och många av de skadliga meddelandena fick en ny version av Qbot. Inom några dagar släppte Qbots operatörer ännu en version med ännu fler funktioner. Det är en stor kampanj, och tack vare en ny modul vill hackarna se till att en stor del av de människor som får e-postmeddelandet hamnar infekterad med skadlig programvara.

För det mesta är infektionen ganska mycket en standard Qbot-operation. Offret får ett e-postmeddelande med en länk till ett ZIP-arkiv värd på en kompromitterad WordPress-webbplats. Inuti ZIP hittar användaren en fil som, om den öppnas, utlöser infektionen. Fram till april lägger Qbots operatörer ut makro-snörda Word-dokument i de skadliga ZIP-enheterna, men de har sedan bytt till Visual Basic Scripts (VBS). VBS kontaktar en av distributionssidorna och laddar ner den initiala nyttolasten, som ställer in scenen för den faktiska trojanen. Den initiala nyttolasten utför ett par kontroller för att säkerställa att den inte körs i en sandlådemiljö och gör några registerändringar för att uppnå uthållighet. Slutligen, när det är säkert att det är säkert att fortsätta, laddar den ut den största Qbot-nyttolasten.

De senaste uppdateringarna medförde inte riktigt några större förändringar. Qbot kan fortfarande stjäla lösenord, kreditkortsinformation och annan känslig information. Det kan logga in på offerets bankkonto och göra transaktioner för deras räkning, och det kan också installera andra skadliga skadestammar om det instrueras.

Experterna sa att de såg några andra moduler som hjälper till med sidorörelser över ett nätverk, men de beslutade att inte utarbeta dem eftersom de såg en ny funktionalitet som var mer anmärkningsvärd.

Qbot kan kapa dina e-postkonversationer

Den nya modulen är utformad för att stjäla hela trådar från offrets Outlook-e-postklienter. Detta är redan dåliga nyheter eftersom även om experter har varnat om farorna med att dela känslig information via e-post fortsätter människor att fylla sina meddelanden med data som kan orsaka extrem skada om det faller i fel händer.

Hackarna stjäl inte människors e-posttrådar för de vill ha informationen inuti dem. De gör det så att de kan svara på uppdrag av offret som redan är infekterat med Qbot och lura den andra deltagaren i konversationen att installera skadlig programvara också. Check Points experter sa att de har sett skurkarna kapa e-posttrådar och skicka skadliga länkar i meddelanden som kretsar kring allt från COVID-19-pandemin till skattebetalningar.

Detta är en av hackarens smartaste drag. Människor är nu nog noga med e-postmeddelanden som distribuerar skadlig programvara, och de tenderar att vara lite mer försiktiga med de meddelanden de hittar i sina inkorgar. Om länkarna kommer från en person som de känner och som redan kommunicerat med, är det dock mycket mer troligt att målen klickar på dem.

Qbots senaste uppdatering ändrar inte skadlig programmets huvudfunktion, men trots detta visar den att dess operatörer långt ifrån har gett upp det. Även om det nu är mer än ett decennium gammalt, är det mer formidabelt än någonsin.

August 28, 2020

Lämna ett svar