Το Qbot botnet στέλνει phishing emails με θέμα τις εκλογές των ΗΠΑ με στόχο να μολύνει τα θύματα με κακόβουλα payloads που έχουν σχεδιαστεί για τη κλοπή δεδομένων χρηστών αλλά και email. Τα κλεμμένα δεδομένα θα χρησιμοποιηθούν σε μελλοντικές κακόβουλες εκστρατείες.
Το Qbot, το οποίο είναι γνωστό και ως Qakbot, Pinkslipbot και Quakbot είναι ένα banking trojan με χαρακτηριστικά worm που χρησιμοποιείται ενεργά στο τοπίο των απειλών τουλάχιστον από το 2009. Οι κυβερνοεγκληματίες έχουν ως στόχο την κλοπή οικονομικών δεδομένων και τραπεζικών credentials, καθώς επίσης και την ανάπτυξη backdoors, για να μολύνουν τη συσκευή του θύματος με malware.
Τα malspam emails που εντοπίστηκαν πρόσφατα από την ομάδα Threat Intelligence της Malwarebytes Labs παρουσιάζονται ως απαντήσεις σε προηγουμένως κλεμμένα email threads. Πρόκειται για μια τακτική που χρησιμοποιείται για να προσθέσει νομιμότητα και να προσελκύσει ανυποψίαστα θύματα.
Τα phishing emails περιέχουν κακόβουλα αρχεία Excel που παρουσιάζονται ως ασφαλές αρχείο DocuSign, το οποίο φέρεται να περιέχει πληροφορίες σχετικά με παρεμβάσεις στις εκλογές των ΗΠΑ.
Αφού εκτελεστεί το Qbot malware και μολύνει τους υπολογιστές των θυμάτων, επικοινωνεί με το κέντρο εντολών και ελέγχου για να ζητήσει περαιτέρω οδηγίες. Όπως ανέφεραν οι Jérôme Segura και Hossein Jazi της Malwarebytes, εκτός από την κλοπή και την απομάκρυνση δεδομένων από τα θύματά του, το QBot κλέβει και email που θα χρησιμοποιηθούν σε μελλοντικές malspam εκστρατείες.
Όπως επισημαίνει το BleepingComputer, εκτός από τις phishing εκστρατείες, οι χάκερς χρησιμοποιούν συχνά ένα exploit kit για να μολύνουν ένα σύστημα με Qbot payloads, με το bot να μολύνει στη συνέχεια άλλες συσκευές που βρίσκονται στο δίκτυο των θυμάτων χρησιμοποιώντας εκμεταλλεύσεις κοινής χρήσης δικτύου και brute-force επιθέσεις που στοχεύουν λογαριασμούς διαχειριστή του Active Directory.
Το Qbot banking trojan έχει χρησιμοποιηθεί ως επί το πλείστον σε επιθέσεις εναντίον εταιρικών οντοτήτων. Αξιοσημείωτο είναι το γεγονός ότι οι εκστρατείες του Qbot είναι σπάνιες. Συγκεκριμένα, οι ερευνητές εντόπισαν μία τον Οκτώβριο του 2014, μία τον Απρίλιο του 2016 και μία τον Μάιο του 2017. Η κακόβουλη δραστηριότητα το Qbot παρατηρήθηκε έντονα το 2019, που χρησιμοποιούταν ως malware που εγχυνόταν στο πρώτο ή το δεύτερο στάδιο μιας επίθεσης της συμμορίας του Emotet, καθώς και ως μέρος μιας phishing εκστρατείας του 2019 που είχε ως θέμα – δόλωμα το περιβάλλον.
Επιπλέον, το Qbot χρησιμοποιήθηκε το 2020 για τη συλλογή credentials πελατών δεκάδων χρηματοπιστωτικών ιδρυμάτων των ΗΠΑ και για την διάδοση του ProLock ransomware μετά από spear-phishing εκστρατείες του botnet.
