Ερευνητές ασφαλείας ανακάλυψαν ότι χάκερς εναλλάσσουν το QBot και το IcedID σε malspam εκστρατείες. Το QBot και το IcedID είναι banking trojans που συχνά φαίνεται να διανέμουν διάφορα στελέχη ransomware ως το τελικό payload στα πλαίσια μιας επίθεσης.
Νωρίτερα αυτό το έτος, ερευνητές παρατήρησαν μια κακόβουλη εκστρατεία email, κατά την οποία αποστέλλονταν έγγραφα Office που διένειμαν το QBot trojan. Τον Φεβρουάριο, το IcedID ήταν το νέο malware που προερχόταν από URLs που χρησιμοποιούνταν από την υπηρεσία του QBot (ή Qakbot). Ο Brad Duncan από την Palo Alto Networks παρατήρησε την εναλλαγή των δύο trojans στα πλαίσια των κακόβουλων εκστρατειών. Συγκεκριμένα, ο Duncan σημείωσε τα ακόλουθα:
“Το HTTPS URL που δημιουργήθηκε από τη μακροεντολή Excel τελειώνει με /ds/2202.gif που κανονικά θα διένειμε το Qakbot, αλλά σήμερα διένειμε το IcedID”.
Ο ερευνητής ασφαλείας James Quinn της Binary Defense επίσης παρατήρησε αυτή την τακτική, αναφέροντάς τη σε ένα blog post που κοινοποίησε τον Μάρτιο, καθώς η εταιρεία ανακάλυψε μια νέα παραλλαγή του IcedID / BokBot παρακολουθώντας μια malspam εκστρατεία από έναν «διανομέα» του QakBot.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Διαβάστε επίσης: Χάκερς διανέμουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs
Το IcedID ξεκίνησε ως banking trojan το 2017 και προσαρμόζει τη λειτουργικότητά του με στόχο τη διανομή malware. Σύμφωνα με ερευνητές, το IcedID έχει διανείμει στο παρελθόν τα RansomExx, Maze και Egregor ransomware. Μετά από ενάμισι μήνα, το QBot (δηλαδή το QakBot), παρατηρήθηκε ότι διένειμε τα ProLock, Egregor και DoppelPaymer ransomware.
Ο ερευνητής malware και reverse engineer reecDeep εντόπισε αυτή την αλλαγή στις 12 Απριλίου, υπογραμμίζοντας ότι η κακόβουλη εκστρατεία βασίζεται σε updated μακροεντολές XLM.
Όπως φαίνεται στο παραπάνω screenshot, το κακόβουλο αρχείο Office εμφανίζεται ως έγγραφο DocuSign για να εξαπατήσει τους χρήστες να επιτρέψουν macro υποστήριξη που παραδίδει το payload στο σύστημα. Το ίδιο trick φαίνεται στην ανάλυση τόσο από την Binary Defense όσο και από τον Brad Duncan σχετικά με τη μετάβαση του διανομέα malware στη διανομή του IcedID τον Φεβρουάριο του 2021.
Δείτε ακόμη: Το malware Qbot άλλαξε και κυκλοφορεί με νέα μέθοδο
Πρόσφατα, ερευνητές ασφαλείας από την εταιρεία threat intelligence “Intel 471” δημοσίευσαν πληροφορίες σχετικά με το EtterSilent, ένα πρόγραμμα δημιουργίας κακόβουλων εγγράφων που κερδίζει δημοτικότητα λόγω της συνεχούς ανάπτυξης και της ικανότητάς του να παρακάμπτει πολλούς μηχανισμούς ασφαλείας (Windows Defender, AMSI, υπηρεσίες email). Ένα χαρακτηριστικό του εργαλείου αυτού είναι ότι μπορεί να δημιουργήσει κακόβουλα έγγραφα που μοιάζουν με DocuSign ή DigiCert προστατευμένα αρχεία που απαιτούν αλληλεπίδραση χρήστη για την αποκρυπτογράφηση.
Σύμφωνα με την Intel 471, πολλές hacking συμμορίες άρχισαν να χρησιμοποιούν EtterSilent υπηρεσίες, συμπεριλαμβανομένων των IcedID, QakBot, Ursnif και Trickbot.
Πρόταση: Trickbot: Νέα μονάδα χρησιμοποιεί το Masscan για αναγνώριση τοπικού δικτύου
Σε επικοινωνία με το Bleeping Computer σχετικά με την πρόσφατη μετάβαση στο QakBot, ο James Quinn επιβεβαίωσε τις εκστρατείες, λέγοντας ότι όλα τα στοιχεία δείχνουν “ένα αρκετά μεγάλο update για το QakBot” που συνοδεύεται από αλλαγμένους αλγόριθμους αποκρυπτογράφησης για το εσωτερικό configuration.
Πηγή πληροφοριών: bleepingcomputer.com