Το Qbot botnet χρησιμοποιεί ένα νέο template για τη διανομή του malware του. Το malware διανέμεται μέσω emails που χρησιμοποιούν ένα ψεύτικο θέμα σχετικά με το Windows Defender, ώστε να εξαπατήσουν τους χρήστες και να τους κάνουν να ενεργοποιήσουν τις μακροεντολές του Excel.
Το Qbot, που είναι γνωστό και ως QakBot ή QuakBot, είναι ουσιαστικά ένα Windows malware που κλέβει τραπεζικά credentials, Windows domain credentials και παρέχει απομακρυσμένη πρόσβαση σε εγκληματίες που εγκαθιστούν ransomware.
Όπως είπαμε παραπάνω, το Qbot διανέμεται συνήθως μέσω phishing emails αλλά και μέσω άλλων malware. Όσον αφορά στο phishing, οι χειριστές του Qbot χρησιμοποιούν διάφορα δολώματα, όπως ψεύτικα τιμολόγια, πληρωμές και τραπεζικές πληροφορίες, σαρωμένα έγγραφα ή τιμολόγια.
Συνημμένα βρίσκονται κακόβουλα έγγραφα Excel (.xls). Όταν ανοίγουν, αυτά τα συνημμένα θα ζητήσουν από τον χρήστη να “Ενεργοποιήσει το περιεχόμενο“, ώστε να εκτελεστούν οι κακόβουλες μακροεντολές και να εγκατασταθεί το Qbot malware στον υπολογιστή του θύματος.
Οι hackers δημιουργούν emails με συνημμένα που φαίνονται αξιόπιστα. Τα emails φαίνεται να προέρχονται από έναν αξιόπιστο οργανισμό ή από το λειτουργικό σύστημα.
Στις 25 Αυγούστου, το Qbot botnet άρχισε να χρησιμοποιεί ένα νέο template που εμφανίζεται ως ειδοποίηση από το Windows Defender. Συνημμένο υπάρχει ένα έγγραφο που λέει ότι είναι κρυπτογραφημένο.
Για να γίνει αποκρυπτογράφηση του εγγράφου, οι χρήστες πρέπει να κάνουν κλικ στο “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου“.
Μόλις ενεργοποιηθεί το περιεχόμενο, εκτελούνται οι κακόβουλες μακροεντολές που θα κατεβάσουν και θα εγκαταστήσουν το malware στον υπολογιστή του θύματος.
Οι ειδικοί στον κυβερνοχώρο και οι IT διαχειριστές θα μπορούσαν να καταλάβουν το ψεύτικο μήνυμα. Ωστόσο, για τους περισσότερους χρήστες, είναι αρκετά πειστικό και πολλοί μπορούν να εξαπατηθούν και να μολυνθούν με το Qbot malware.
Σημαντική η αναγνώριση των συνημμένων που διανέμουν το Qbot
Σύμφωνα με το BleepingComputer, τους τελευταίους δύο μήνες, το Qbot malware διανέμεται όλο και πιο συχνά (όπως και το Emotet botnet).
Το Qbot εκτελεί διάφορες κακόβουλες δραστηριότητες που επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση στους τραπεζικούς λογαριασμούς και στο δίκτυό των θυμάτων. Μετά την απόκτηση πρόσβασης, μπορεί να γίνει εγκατάσταση ransomware όπως το ProLock.
Γι’ αυτό το λόγο, είναι απαραίτητο να μπορούν όλοι οι χρήστες να αναγνωρίσουν τα κακόβουλα emails.