Το botnet Qbot έχει αρχίσει να ωθεί ωφέλιμα φορτία malware μέσω email phishing με συνημμένα αρχείου ZIP, που προστατεύονται με κωδικό πρόσβασης και περιέχουν κακόβουλα πακέτα MSI Windows Installer.
Δείτε επίσης: Log4Shell exploits χρησιμοποιούνται για DDoS botnets και εγκατάσταση cryptominers
Είναι η πρώτη φορά που οι χειριστές του Qbot χρησιμοποιούν αυτήν την τακτική. Μέχρι πρότινος ο παραδοσιακός τρόπος παράδοσης του κακόβουλου λογισμικού ήταν μέσω phishing emails, που περιείχαν έγγραφα του Microsoft Office με κακόβουλες μακροεντολές.
Οι ερευνητές ασφαλείας υποψιάζονται ότι αυτή η κίνηση μπορεί να είναι μια άμεση αντίδραση στην ανακοίνωση της Microsoft ότι σχεδιάζει να σταματήσει την παράδοση κακόβουλου λογισμικού μέσω μακροεντολών VBA Office τον Φεβρουάριο, μετά την απενεργοποίηση των μακροεντολών του Excel 4.0 (XLM) από προεπιλογή τον Ιανουάριο.
Η Microsoft έχει αρχίσει να διαθέτει τη δυνατότητα αυτόματου αποκλεισμού μακροεντολών VBA στους χρήστες του Office για Windows στις αρχές Απριλίου 2022, ξεκινώντας από την έκδοση 2203 και σε παλαιότερες εκδόσεις αργότερα.
“Θα πρέπει να σημειωθεί ότι ενώ οι απατεώνες χρησιμοποιούν μακροεντολές Excel 4.0 ως προσπάθεια αποφυγής εντοπισμού, αυτή η δυνατότητα είναι πλέον απενεργοποιημένη από προεπιλογή και επομένως απαιτεί από τους χρήστες να την ενεργοποιήσουν με μη αυτόματο τρόπο για να εκτελεστούν σωστά τέτοιες απειλές“, δήλωσε η Microsoft.
Δείτε ακόμα: Οι ΗΠΑ διακόπτουν την λειτουργία του botnet Cyclops Blink
Αυτή είναι μια σημαντική βελτίωση ασφαλείας για την προστασία των χρηστών του Office, καθώς η χρήση κακόβουλων μακροεντολών VBA που είναι ενσωματωμένες σε έγγραφα του Office είναι μια διαδεδομένη μέθοδος για την προώθηση μιας μεγάλης ποικιλίας τύπων κακόβουλου λογισμικού σε επιθέσεις phishing, συμπεριλαμβανομένων των Qbot, Emotet, TrickBot και Dridex.
Το Qbot είναι ένα τραπεζικό trojan των Windows με χαρακτηριστικά τύπου worm, που χρησιμοποιείται τουλάχιστον από το 2007 για την κλοπή τραπεζικών διαπιστευτηρίων, προσωπικών πληροφοριών και οικονομικών δεδομένων, καθώς και για την τοποθέτηση backdoors σε παραβιασμένους υπολογιστές και την ανάπτυξη του Cobalt.
Αυτό το κακόβουλο λογισμικό, επίσης γνωστό ως Qakbot, Quakbot και Pinkslipbot, μπορεί να μολύνει κι άλλες συσκευές σε ένα παραβιασμένο δίκτυο χρησιμοποιώντας εκμεταλλεύσεις κοινής χρήσης δικτύου και επιθέσεις brute force που στοχεύουν λογαριασμούς διαχειριστή Active Directory.
Αν και είναι ενεργό για πάνω από μια δεκαετία, το κακόβουλο λογισμικό Qbot έχει χρησιμοποιηθεί κυρίως σε εξαιρετικά στοχευμένες επιθέσεις κατά εταιρικών οντοτήτων, καθώς παρέχουν υψηλότερη απόδοση επένδυσης.
Δείτε επίσης: Το Qbot botnet χρησιμοποιεί νέες τεχνικές μόλυνσης
Πολλές συμμορίες ransomware, συμπεριλαμβανομένων των REvil, Egregor, ProLock, PwndLocker και MegaCortex, έχουν επίσης χρησιμοποιήσει το Qbot για να παραβιάσουν εταιρικά δίκτυα.
Δεδομένου ότι οι μολύνσεις από το Qbot μπορούν να οδηγήσουν σε επικίνδυνες μολύνσεις και επιθέσεις, οι διαχειριστές IT και οι επαγγελματίες ασφάλειας πρέπει να εξοικειωθούν με αυτό το κακόβουλο λογισμικό, τις τακτικές που χρησιμοποιεί για να εξαπλωθεί σε ένα δίκτυο και αυτές που χρησιμοποιούνται από τους χειριστές του botnet για να το παραδώσουν σε νέους στόχους.
