Qbot的新版本可以劫持電子郵件線程

Qbot Latest Version Hijacks Email Threads

在線威脅形勢是一個非常特殊的地方。它總是在變化和變化,我們看到每天都有新名稱出現而舊名稱消失。鑑於所有這些,您可能希望出現十年以上的惡意軟件家族現在不過是遙遠的記憶而已。但是,正如Check Point研究人員昨天指出的那樣,Qbot銀行木馬程序證明並非總是如此。

也稱為QakBot,它於2008年首次出現,但是十二年後,它仍然表現強勁。最初,Qbot的功能圍繞竊取銀行密碼和其他敏感數據而展開,但正如研究人員所指出的那樣,多年來,它獲得了各種各樣的附加功能,有時被稱為惡意軟件的“瑞士軍刀” 。不過,這並不意味著Qbot的作者將在這裡停止。實際上,Check Point報告的目的是詳細介紹該木馬的最新更新。

您可以教老機器人新花樣

在3月到6月之間,Qbot處於大型活動的中間,但隨後停止傳播,專家們認為,該惡意軟件的運營商已對其進行了中斷,以進行一些調整和調整。他們原本希望更新會花費更長的時間,但是在7月下旬,臭名昭著的Emotet木馬發起了一次大規模的垃圾郵件運動,並且許多惡意消息都攜帶了新版本的Qbot。幾天之內,Qbot的運營商發布了又一個版本,具有更多新功能。這是一項巨大的運動,而且由於有了新模塊,黑客們希望確保接收電子郵件的大部分人最終都感染了惡意軟件。

在大多數情況下,感染幾乎是Qbot的標準操作。受害人會收到一封電子郵件,其中包含指向受感染的WordPress網站上託管的ZIP存檔的鏈接。用戶可以在ZIP內找到一個文件,如果打開該文件,則會觸發感染。直到四月,Qbot的運營商都將宏打包的Word文檔放入惡意ZIP中,但此後他們已切換到Visual Basic腳本(VBS)。 VBS與其中一個分發站點聯繫並下載初始有效負載,從而為實際的特洛伊木馬設置了場景。初始有效負載會執行幾項檢查,以確保其不在沙盒環境中運行,並對註冊表進行一些更改以實現持久性。最後,當確定可以安全繼續進行時,它將部署主要的Qbot有效負載。

最近的更新並沒有真正帶來任何重大變化。 Qbot仍然可以竊取密碼,信用卡詳細信息和其他敏感信息。它可以登錄受害者的銀行帳戶並代表他們進行交易,並且如果得到指示,它還可以安裝其他惡意軟件。

專家說,他們看到了其他一些有助於網絡橫向移動的模塊,但是他們決定不對其進行詳細說明,因為他們看到了一個更值得注意的新功能。

Qbot可以劫持您的電子郵件對話

新模塊旨在從受害者的Outlook電子郵件客戶端竊取整個線程。這已經是一個壞消息了,因為儘管專家們一直警告過通過電子郵件共享敏感信息的危險,但是人們繼續在其消息中填充數據,如果這些數據落入不正確的人手中,可能會造成極大的破壞。

黑客之所以不會竊取人們的電子郵件線程,是因為他們想要其中的信息。他們這樣做是為了他們可以代表已經感染Qbot的受害者答复,並欺騙對話中的其他參與者也安裝了惡意軟件。 Check Point的專家說,他們已經看到騙子劫持了電子郵件線程,並在郵件中發送惡意鏈接,涉及從COVID-19大流行到納稅提醒的一切事情。

這是黑客最聰明的舉動之一。人們現在對散發惡意軟件的電子郵件已經足夠警惕,並且他們對在收件箱中找到的郵件更加謹慎。但是,如果鏈接來自他們認識的人並已經與之通信,則目標更有可能單擊它們。

Qbot的最新更新不會改變該惡意軟件的主要功能,但是儘管如此,它表明其操作人員還沒有放棄。儘管它已有十多年的歷史,但它比以往任何時候都更加強大。

August 28, 2020

發表評論