Παρασκευή, 15 Ιανουαρίου, 19:36
Αρχική security Το Emotet botnet διαδίδει το κακόβουλο λογισμικό QakBot

Το Emotet botnet διαδίδει το κακόβουλο λογισμικό QakBot

Οι ερευνητές που παρακολουθούν το Emotet botnet παρατήρησαν ότι το malware άρχισε να ωθεί το QakBot banking trojan με ασυνήθιστα υψηλό ρυθμό, αντικαθιστώντας το payload TrickBot που χρησιμοποιούσε εδώ και χρόνια.

Την περασμένη εβδομάδα, το Emotet ξαναεπέστρεψε στην ενεργό δράση μετά από ένα διάλειμμα πέντε μηνών. Από χθες, η λειτουργία του malspam ξεκίνησε για λίγο την εγκατάσταση του TrickBot σε παραβιασμένα συστήματα Windows.

Τα πράγματα άλλαξαν σήμερα όταν οι ερευνητές παρατήρησαν ότι το Emotet διέδιδε το QakBot. Ένα string στο malware δείχνει ότι αυτό το trojan είναι πλέον ο συνεργάτης που έχει επιλέξει το Emotet botnet.

Μια ομάδα ερευνητών και διαχειριστών συστήματος που έχει ενωθεί για να πολεμήσουν τις επιχειρήσεις Emotet και ονομάζεται Cryptolaemus, είδε σήμερα ότι ο απειλητικός παράγοντας αντικατέστησε τη διανομή TrickBot σε όλα τα “epochs”.

Emotet botnet QakBot

Ένα Emotet epoch είναι μια υποομάδα του botnet που λειτουργεί σε μια ξεχωριστή υποδομή. Επί του παρόντος, υπάρχουν τρία από αυτά, το καθένα με ξεχωριστούς διακομιστές εντολών και ελέγχου, μεθόδους διανομής και payloads.

Μιλώντας στο BleepingComputer, η ομάδα Cryptolaemus είπε ότι είδε το QakBot να διανέμεται σε όλο το botnet του Emotet, καθώς το TrickBot απουσιάζει εντελώς.

Ο ερευνητής ασφαλείας που ονομάζεται Bom εντόπισε ένα δείγμα κακόβουλου λογισμικού QakBot (QBot) και το “έδωσε” στο διαδραστικό εργαλείο ανάλυσης Any.Run. Τα αποτελέσματα είναι διαθέσιμα σε αυτόν τον σύνδεσμο. Μια λίστα με τις διευθύνσεις των διακομιστών εντολών και ελέγχου (C2) να είναι διαθέσιμη εδώ.

Πρόσθετη ανάλυση από την εταιρεία πληροφοριών για τα εγκλήματα στον κυβερνοχώρο Intel 471 αποκάλυψε ότι το string για τον προσδιορισμό αυτής της καμπάνιας QBot είναι “partner01”, υποδηλώνοντας μια ισχυρή σύνδεση μεταξύ του Emotet και αυτών των απειλών.

Ωστόσο, το να βγάλουμε γρήγορα συμπεράσματα για μη συνεργασία των Emotet και TrickBot δεν είναι ασφαλές καθώς η σχέση μεταξύ αυτών των δύο χειριστών δεν είναι αποκλειστική. Η ομάδα Cryptolaemus είπε ότι η αλλαγή σε ένα payload έχει συμβεί και στο παρελθόν και ότι το αρχικό ντουέτο είναι πολύ πιθανό να συνεχίσει τη συνεργασία του.

Ωστόσο, αυτό δεν συμβαίνει πολύ συχνά. Για παράδειγμα, το Emοtet ξεκίνησε να χρησιμοποιεί το QakBot πέρυσι.

Το TrickBot και το QakBot είναι οι προτιμώμενοι συνεργάτες για το Emotet. Και οι τρεις hackers είναι μέρος της ίδιας ρωσόφωνης κοινότητας και αλληλεπιδρούν εδώ και πολύ καιρό.

Δεν είναι σαφές τι διανέμει το QakBot στα μολυσμένα συστήματα, αλλά ορισμένα θύματα μπορεί να πέσουν θύματα ransomware.

Για να ενημερωθείτε σχετικά με τις καμπάνιες του Emοtet, μπορείτε να ακολουθήσετε το προφίλ της Cryptolaemus στο Twitter.

Ακόμα κι αν υπάρχει διαφορετικό payload, το Emotet εξακολουθεί να βασίζεται στα email για την διανομή του κακόβουλου λογισμικού, με την απειλή να παραδίδεται μέσω κάποιου κακόβουλου εγγράφου.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...