ΑρχικήsecurityΤο Qbot malware χρειάζεται μόνο 30 λεπτά για να υποκλέψει πληροφορίες

Το Qbot malware χρειάζεται μόνο 30 λεπτά για να υποκλέψει πληροφορίες

Το Qbot malware (ή Qakbot/QuakBot) έχει επιστρέψει και σύμφωνα με τους αναλυτές, χρειάζεται μόνο 30 λεπτά για να κλέψει ευαίσθητες πληροφορίες.

Σύμφωνα με αναφορές της DFIR, το Qbot πραγματοποιούσε επιθέσεις και τον Οκτώβρη του 2021 και τώρα απ’ότι φαίνεται έχει επιστρέψει στις παλιές του τακτικές. Πιό συγκεκριμένα, οι αναλυτές αναφέρουν ότι παίρνει περίπου μισή ώρα για να υποκλαπούν browser data και email από το outlook, ενώ θέλει 50 λεπτά για να εισβάλλουν σε ένα workstation.

Το Qbot θέλει μόνο μισή ώρα για να υποκλέψει πληροφορίες
Το Qbot θέλει μόνο μισή ώρα για να υποκλέψει πληροφορίες

Το Qbot malware λειτουργεί γρήγορα, με αποτέλεσμα να λαμβάνει τα δικαιώματα του υπολογιστή αμέσως μετά την μόλυνση ενώ μια πλήρης σάρωση πραγματοποιείται εντός δέκα λεπτών. Η αρχική πρόσβαση επιτυγχάνεται μέσα από ένα αρχείο Excel που χρησιμοποιεί macro για να εισάγει ένα DLL loader στον υπολογιστή. Ύστερα δημιουργείται ένα task από το msra.exe με αποτέλεσμα να λάβει τα δικαιώματα συστήματος. Επιπρόσθετα, το malware προσθέτει το Qbot DLL στην λίστα εξαιρέσεων του Microsoft Defender για να μην γίνει αντιληπτό.

Διαβάστε επίσης: XLoader malware: Κλέβει logins από Windows και macOS συστήματα

Το malware υποκλέπτει email σε μόλις μισή ώρα, τα οποία χρησιμοποιεί για να στέλνει replay-chain phishing attacks ή τα πουλάει ο χειριστής σε άλλους που θέλουν να κάνουν επιθέσεις. Επίσης κλέβει τα Windows Credentials από την μνήμη χρησιμοποιώντας το LSASS (Local Security Authority Server Service) και από browsers. Αυτά αξιοποιούνται για να μεταφερθεί το malware και σε άλλους υπολογιστές στο δίκτυο, μετά από μόλις 50 λεπτά.

Το Qbot περνάει και στα υπόλοιπα μηχανήματα του δικτύου χρησιμοποιώντας ένα DLL σε κάθε στόχο. Την ίδια ώρα η προηγούμενη επίθεση έχει καθαριστεί με αποτέλεσμα να μην φαίνεται στο σύστημα. Όλα αυτά συμβαίνουν ακαριαία και προκαλούν μεγάλο πρόβλημα σε πολλούς υπολογιστές που βρίσκονται στο ίδιο δίκτυο χωρίς προστασία. Επίσης, οι χειριστές του Qbot χρησιμοποιούν τα μολυσμένα μηχανήματα σαν proxy για να καλύπτουν την δική τους διεύθυνση και να αξιοποιήσουν πολλά ports για την επικοινωνία SSL με τον server C2.

Το Qbot θέλει μόνο μισή ώρα για να υποκλέψει πληροφορίες
Το Qbot θέλει μόνο μισή ώρα για να υποκλέψει πληροφορίες

Το αντίκτυπο της επίθεσης όμως δεν τελειώνει στην υποκλοπή πληροφοριών καθώς το malware εισάγει και φορτία ransomware σε μολυσμένα εταιρικά δίκτυα.

Διαβάστε επίσης: Μισό εκατ. χρήστες έχουν εγκαταστήσει app που παραδίδει το Joker malware

Μια αναφορά της Microsoft από τον Δεκέμβριο του 2021 κατέγραψε την ευελιξία των επιθέσεων της Qbot, καθιστώντας πιο δύσκολη την αξιολόγηση του εύρους των μολύνσεων του. Ωστόσο ακόμα και αν δεν εξακριβωθεί το πώς μολύνεται το σύστημα, είναι χρήσιμο να θυμόμαστε ότι όλα ξεκινούν με ένα email, το οποίο αποτελεί το κύριο σημείο πρόσβασης που πρέπει να ενισχύσουν οι οργανισμοί.

Τέλος, η Microsoft ανακοίνωσε ότι θα μπλοκάρει τις μακροεντολές σε κατεβασμένα έγγραφα αφαιρώντας τα κουμπιά ‘Enable Content’ και ‘Enable Editing’ για την περαιτέρω προστασία των χρηστών από το Qbot malware.

Πηγή: bleepingcomputer.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS