ΑρχικήsecurityΤο malware Qbot άλλαξε και κυκλοφορεί με νέα μέθοδο

Το malware Qbot άλλαξε και κυκλοφορεί με νέα μέθοδο

Μια νέα έκδοση του malware Qbot ενεργοποιεί τώρα τον μηχανισμό του persistence της πριν από τον τερματισμό των μολυσμένων συσκευών των Windows και αφαιρεί αυτόματα τυχόν ίχνη κατά την επανεκκίνηση του συστήματος.

Το Qbot (επίσης γνωστό ως Qakbot, Quakbot και Pinkslipbot) είναι ένα banking trojan των Windows με τις λειτουργίες worm να είναι ενεργές τουλάχιστον από το 2009 και χρησιμοποιείται για την κλοπή τραπεζικών credentials, προσωπικών πληροφοριών και οικονομικών δεδομένων.

Qbot-phishing emails-εκλογές των ΗΠΑ malware

Σε πρόσφατες εκστρατείες, τα θύματα του Qbot μολύνθηκαν από κάποια phishing emails που περιλαμβάνουν συνημμένα έγγραφα του Excel που προσποιούνταν ότι είναι έγγραφα DocuSign.

Μετάβαση σε έναν πιο αθόρυβο μηχανισμό persistence

Από τις 24 Νοεμβρίου που ο ερευνητής James Quinn λέει ότι εντοπίστηκε η νέα έκδοση του Qbot, το malware χρησιμοποιεί έναν νεότερο και πιο αθόρυβο μηχανισμό persistence που εκμεταλλεύεται το κλείσιμο του συστήματος και επαναλαμβάνει μηνύματα για να αλλάξει το persistence σε μολυσμένες συσκευές.

Αυτή η τακτική είναι τόσο επιτυχημένη που ορισμένοι ερευνητές πίστευαν στο παρελθόν ότι το trojan Qbot έχει αφαιρέσει εντελώς αυτόν τον μηχανισμό του persistence.

Το trojan θα προσθέσει ένα κλειδί εκτέλεσης μητρώου στα μολυσμένα συστήματα επιτρέποντας του να ξεκινήσει αυτόματα κατά την είσοδο στο σύστημα και θα προσπαθήσει να το αφαιρέσει αμέσως μόλις ο χρήστης ενεργοποιήσει ή “ξυπνήσει” τον υπολογιστή για να αποφύγει τον εντοπισμό από τις λύσεις anti-malware ή τους ερευνητές ασφαλείας.

Αυτό που καθιστά αυτή την τεχνική κρυφή είναι το τέλειο timing που χρησιμοποιείται από τους προγραμματιστές του Qbot για να εισάγουν το κλειδί στο μητρώο των Windows.

Το malware θα προσθέσει μόνο το πλήκτρο Run πριν το σύστημα τεθεί σε κατάσταση αναστολής λειτουργίας ή τερματιστεί.

Στη συνέχεια, το Qbot θα προσπαθήσει να διαγράψει το κλειδί του persistence αρκετές φορές μόλις ξεκινήσει ξανά κατά την ενεργοποίηση του συστήματος ή το login.

Ωστόσο, επειδή το value name του κλειδιού δημιουργείται τυχαία σε κάθε μολυσμένο σύστημα, το Qbot θα προσπαθήσει «να διαγράψει τυχόν run keys με δεδομένα τιμής που ταιριάζουν με το path του.»

Ενώ αυτή η μέθοδος επίτευξης persistence είναι νέα για το Qbot κάποια άλλα κακόβουλα προγράμματα την έχουν χρησιμοποιήσει στο παρελθόν – όπως τα banking trojans Gozi και Dridex.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS