Καθώς οι καμπάνιες QBot αυξάνονται σε μέγεθος και συχνότητα, οι ερευνητές αναζητούν τρόπους να σπάσουν την αλυσίδα διανομής του trojan ώστε να αντιμετωπίσουν την απειλή.
Δείτε επίσης: Log4Shell ευπάθεια: Hackers τη χρησιμοποιούν ήδη για malware επιθέσεις
Τα θύματα συνήθως μολύνονται με το Qbot μέσω άλλης μόλυνσης από κακόβουλο λογισμικό ή μέσω καμπανιών ηλεκτρονικού “ψαρέματος” που χρησιμοποιούν διάφορα θέλγητρα, όπως πλαστά τιμολόγια, πληρωμές και τραπεζικές πληροφορίες, σαρωμένα έγγραφα ή τιμολόγια.
Σε μια νέα αναφορά, η Microsoft αναλύει την αλυσίδα επιθέσεων QBot στα διακριτά “δομικά στοιχεία” τους, τα οποία μπορεί να διαφέρουν ανάλογα με τον χειριστή που χρησιμοποιεί το κακόβουλο λογισμικό και τον τύπο της επίθεσης που πραγματοποιεί.
Για να απεικονίσει την αλυσίδα επίθεσης, η Microsoft χρησιμοποίησε κομμάτια Lego διαφορετικών χρωμάτων, καθένα από τα οποία αντιπροσωπεύει ένα βήμα σε μια επίθεση.
Αυτές οι διαφορετικές αλυσίδες επίθεσης είναι είτε το αποτέλεσμα μιας πολύ στοχευμένης προσέγγισης είτε μιας προσπάθειας επίθεσης σε ένα μόνο σημείο διείσδυσης, δοκιμάζοντας πολλαπλά κανάλια επίθεσης ταυτόχρονα.
Ακόμη και όταν εξετάζονται τρεις συσκευές που στοχεύονται από την ίδια καμπάνια, οι εισβολείς μπορούν να χρησιμοποιήσουν τρεις διαφορετικές αλυσίδες επίθεσης.
Για παράδειγμα, η Συσκευή Α υφίσταται τελικά επίθεση ransomware, η Συσκευή Β χρησιμοποιείται για πλευρική κίνηση, ενώ η Συσκευή Γ χρησιμοποιείται για την κλοπή διαπιστευτηρίων.
Δείτε ακόμα: Το QBot trojan αντικαθιστά το IcedID σε malspam εκστρατείες!
Η χρήση διαφορετικών αλυσίδων προσάρτησης στην ίδια επίθεση υπογραμμίζει τη σημασία της ανάλυσης όλων των στοιχείων στις έρευνες μετά την επίθεση, καθώς δεν μπορούν να εξαχθούν ασφαλή συμπεράσματα εξετάζοντας τα αρχεία καταγραφής δειγμάτων ή τι συνέβη σε μία συσκευή.
Ωστόσο ό,τι κι αν συμβαίνει στα μεταγενέστερα στάδια, είναι σημαντικό να υπογραμμιστεί ότι μια επίθεση QBot ξεκινά με την αποστολή ενός email που περιέχει κακόβουλους συνδέσμους, συνημμένα ή ενσωματωμένες εικόνες.
Τα μηνύματα είναι συνήθως σύντομα και περιέχουν μια παρότρυνση για κάποια ενέργεια που αγνοούν οι λύσεις ασφαλείας email.
Μετά την παράδοση του email, οι αλυσίδες επίθεσης Qbot χρησιμοποιούν τα ακόλουθα δομικά στοιχεία:
Ενεργοποίηση μακροεντολών – Κάθε καμπάνια Qbot που παραδίδεται μέσω email χρησιμοποιεί κακόβουλες μακροεντολές για την παράδοση του ωφέλιμου φορτίου Qbot.
Παράδοση Qbot – Το Qbot λαμβάνεται συνήθως ως εκτελέσιμο αρχείο με επέκταση htm ή .dat και στη συνέχεια μετονομάζεται σε ανύπαρκτες επεκτάσεις αρχείων όπως .waGic ή .wac. Η Microsoft σημειώνει ότι σε πολλές περιπτώσεις, η παράδοση Qbot περιλαμβάνει τη δημιουργία ενός φακέλου C:\Datop όπως περιγράφεται σε αυτό το άρθρο.
Έγχυση διεργασίας για ανακάλυψη – Στη συνέχεια, τα ωφέλιμα φορτία Qbot εγχέονται ως DLL σε άλλες διεργασίες, συνηθέστερα στο MSRA.exe και στο Mobsync.exe.
Δείτε επίσης: Το malware Qbot άλλαξε και κυκλοφορεί με νέα μέθοδο
Προγραμματισμένες εργασίες – Δημιουργεί μια προγραμματισμένη εργασία, έτσι ώστε το Qbot να εκκινείται κάθε φορά που γίνεται επανεκκίνηση των Windows και ένας χρήστης συνδέεται στη συσκευή.
Κλοπή διαπιστευτηρίων και δεδομένων προγράμματος περιήγησης – Κλέβει διαπιστευτήρια από το Windows Credential Manager και το ιστορικό του προγράμματος περιήγησης, κωδικούς πρόσβασης και cookie από εγκατεστημένα προγράμματα περιήγησης ιστού.
Email exfiltration – Κλέβει email από μολυσμένες συσκευές που χρησιμοποιούν οι εισβολείς σε άλλες επιθέσεις phishing με αλυσίδα απάντησης εναντίον υπαλλήλων και επιχειρηματικών συνεργατών.
Πρόσθετα ωφέλιμα φορτία, πλευρική κίνηση και ransomware – Αυτό το μπλοκ στην αλυσίδα επίθεσης προορίζεται για μια ποικιλία από διαφορετικές κακόβουλες δραστηριότητες και ωφέλιμα φορτία, συμπεριλαμβανομένης της ανάπτυξης beacons Cobalt Strike, της πλευρικής εξάπλωσης μέσω του δικτύου και της ανάπτυξης ransomware.
