Οι δημιουργοί του QBot Trojan χρησιμοποιούν προηγμένες τακτικές για να εισβάλουν σε email, με απώτερο στόχο την κλοπή credentials και οικονομικών δεδομένων.
Την Πέμπτη, οι ερευνητές της Check Point δημοσίευσαν μια έρευνα σχετικά το Qbot Trojan, στην οποία οι χρήστες του Microsoft Outlook είναι επιρρεπείς σε ένα module που έχει σχεδιαστεί για τη συλλογή και την κλοπή μηνυμάτων email σε μολυσμένα μηχανήματα.
Το QBot, επίσης γνωστό ως Qakbot και Pinkslipbot, είναι μια μορφή malware που εκτιμάται ότι έχει στοχεύσει τουλάχιστον 100.000 θύματα σε πολλές χώρες όπως οι ΗΠΑ, η Ινδία και το Ισραήλ. Το Trojan που αρχικά ταυτοποιήθηκε το 2008 είναι malware που όχι μόνο κλέβει πληροφορίες αλλά είναι επίσης σε θέση να αναπτύξει ransomware.
Μια νέα παραλλαγή του QBot, που εντοπίστηκε σε πολλές καμπάνιες μεταξύ Μαρτίου και Αυγούστου του τρέχοντος έτους, αναπτύσσεται ως κακόβουλο payload από τους χειριστές του Emotet Trojan. Οι ερευνητές εκτιμούν ότι μια ιδιαίτερα εκτεταμένη εκστρατεία που πραγματοποιήθηκε τον Ιούλιο επηρέασε περίπου το 5% των οργανισμών παγκοσμίως.
Το malware εισέρχεται στο ευπαθές σύστημα μέσω phishing email που περιέχουν είτε url είτε .zip αρχεία με VBS (visual basic script), στη συνέχεια καλεί το payload μέσω ενός εκ των έξι κρυπτογραφημένων-hardcoded url που περιέχει.
Μόλις μολυνθεί ένας υπολογιστής, ένα προηγμένο module της νέας παραλλαγής του QBot που περιγράφεται από την Check Point ως “module που συγκεντρώνει email” εξάγει όλα τα threads που περιέχονται σε έναν Outlook client και τα κάνει upload στον command-and-control (C2) server του χάκερ.
Τα κλεμμένα threads στη συνέχεια χρησιμοποιούνται για την περαιτέρω διάδοση του malware. Οι αναγνώστες βλέποντας τα threads μπορεί να πιστέψουν ότι τα μηνύματα που αποστέλλονται από τους εισβολείς είναι πραγματικά και, ως εκ τούτου, είναι πιο πιθανό να κάνουν κλικ σε μολυσμένα συνημμένα.
Τα θέματα που εντοπίστηκαν από την ομάδα είναι υπενθυμίσεις πληρωμής φόρων, προσλήψεις σε θέσεις εργασίας και μηνύματα που σχετίζονται με τον COVID-19.
Το QBot μπορεί να κλέψει browsing data, αρχεία email και credentials τραπεζικών λογαριασμών. Ένα από τα module του Trojan κατεβάζει το Mimikatz για να συλλέξει τους κωδικούς πρόσβασης.
Το malware είναι επίσης σε θέση να εκτελεί “browser web injections” και να εγκαθιστά κακόβουλα payload, συμπεριλαμβανομένων των ransomware, όπως το ProLock. Επιπλέον, το QBot συνδέει μολυσμένους υπολογιστές ως δευτερεύοντες κόμβους σε ένα ευρύτερο botnet, το οποίο θα μπορούσε να οπλιστεί για τη διεξαγωγή επιθέσεων DDoS. Ένα άλλο νέο χαρακτηριστικό του QBot είναι η δυνατότητα λήψης και εγκατάστασης απομακρυσμένων ενημερώσεων και νέων λειτουργικών module.
Μια εκστρατεία QBot malspam ξεκίνησε αυτόν τον μήνα, με επίκεντρο τις ΗΠΑ και την Ευρώπη στοχεύοντας κυβερνητικούς, στρατιωτικούς και κατασκευαστικούς φορείς.
“Αυτές τις μέρες το Qbot είναι πολύ πιο επικίνδυνο από ό, τι στο παρελθόν – έχει ενεργές καμπάνιες malspam που μολύνουν οργανισμούς και χρησιμοποιεί τις υποδομές του Emotet για να διαδώσει ακόμη περισσότερο την απειλή”, λένε οι ερευνητές.
