Ένα γνωστό botnet που εμφανίστηκε για πρώτη φορά πριν από 15 χρόνια, εντοπίστηκε με νέες τεχνικές επίθεσης. Πρόκειται για το Qakbot ή Qbot botnet, το οποίο σύμφωνα με ερευνητές της Sophos Labs, μπαίνει στη μέση ενεργών email threads, χρησιμοποιώντας παραβιασμένους λογαριασμούς θυμάτων των οποίων τα συστήματα είχαν ήδη επηρεαστεί από το κακόβουλο λογισμικό.
Δείτε επίσης: Τα Qbot και Lokibot στρέφονται και πάλι στο Windows Regsvr32
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν εδώ και καιρό παραλλαγές του Qbot για να συλλέγουν δεδομένα και να πραγματοποιούν reconnaissance εντός των δικτύων των θυμάτων, παράνομα.
Σε έρευνα που δημοσιεύθηκε την Πέμπτη, οι ερευνητές είπαν ότι τα κακόβουλα μηνύματα που εμφανίστηκαν στις συνομιλίες μέσω email, είχαν τη μορφή ενός reply-all μηνύματος. Το μήνυμα περιείχε μια σύντομη πρόταση μαζί με έναν σύνδεσμο για τη λήψη ενός αρχείου zip. Αυτό το αρχείο περιέχει ένα κακόβουλο έγγραφο του Office.
Οι σύνδεσμοι ενδέχεται να εμφανίζονται ως απλές διευθύνσεις URL ή ως hotlinked text στο κείμενο του email. Οι χρήστες που ανοίγουν τους συνδέσμους και το κακόβουλο έγγραφο γίνονται θύματα του Qbot botnet.
Οι ερευνητές Andrew Brandt και Steeve Gaudreault παρατήρησαν ότι οι ικανότητες μίμησης μιας πραγματικής συνομιλίας, καθιστούν δύσκολο τον εντοπισμό αυτής της νέας επίθεσης από το Qbot botnet.
Δείτε επίσης: Το Qbot malware χρειάζεται μόνο 30 λεπτά για να υποκλέψει πληροφορίες
Οι ερευνητές είπαν τα εξής: “Επειδή το κακόβουλο λογισμικό είναι τόσο καλό στο να το κάνει αυτό – παραθέτοντας το αρχικό μήνυμα μετά την κακόβουλη απάντησή του – μπορεί να είναι δύσκολο για τους στόχους αυτών των επιθέσεων να αναγνωρίσουν ότι τα μηνύματα που λαμβάνουν δεν προέρχονται από τον πραγματικό κάτοχο του email από το οποίο φαίνεται να έρχονται τα μηνύματα“.
Σε μια επίθεση, κατά την οποία το Qbot έστειλε μια ανακοίνωση για μια μουσική συναυλία, το κακόβουλο λογισμικό παρέδωσε τουλάχιστον τρία διαφορετικά payloads, συμπεριλαμβανομένου ενός web injector για την κλοπή credentials και ενός ARP-scanning component.
Οι ερευνητές σημείωσαν ότι μια μόλυνση από το Qbot μπορεί να είναι οιωνός ότι πρόκειται να συμβεί μια άλλη πιο σοβαρή επίθεση (π.χ. ransomware).
Δείτε επίσης: Μέλος του REvil ransomware εκδόθηκε στις ΗΠΑ για να δικαστεί για την επίθεση Kaseya
Οι ερευνητές πρόσθεσαν: “Συναντήσαμε δείγματα του Qakbot (Qbot) botnet που παραδίδουν Cobalt Strike beacons απευθείας στον μολυσμένο υπολογιστή, παρέχοντας στους χειριστές του botnet μια δευτερεύουσα ροή εσόδων: Μόλις οι φορείς απειλών που βρίσκονται πίσω από το Qbot χρησιμοποιήσουν τον μολυσμένο υπολογιστή για τους δικούς τους σκοπούς, μπορούν στη συνέχεια να πουλήσουν σε άλλους την πρόσβαση στο παραβιασμένο δίκτυο“.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Sophos.
Πηγή: Infosecurity Magazine