Μια νέα εκστρατεία διανομής του QBot malware, με το όνομα “QakNote“, έχει εντοπιστεί από την περασμένη εβδομάδα, με κακόβουλα συνημμένα αρχεία Microsoft OneNote .one. Αυτά τα συνημμένα χρησιμοποιούνται για να μολύνουν τα συστήματα με το banking trojan, θέτοντας σε κίνδυνο ανυποψίαστους χρήστες.
Το Qbot, που είναι επίσης γνωστό ως QakBot, είναι ένα κακόβουλο λογισμικό που ξεκίνησε ως banking trojan αλλά εξελίχθηκε σε κάτι μεγαλύτερο. Έχει τη δυνατότητα να διεισδύει σε συσκευές και να φορτώνει πρόσθετο κακόβουλο λογισμικό με σκοπό την κλοπή δεδομένων, την εξαπόλυση επιθέσεων ransomware κλπ.
Δείτε επίσης: Ερευνητής παραβίασε την εφαρμογή GSPIMS της Toyota
Τον περασμένο μήνα, οι εγκληματίες του κυβερνοχώρου άρχισαν να χρησιμοποιούν συνημμένα αρχεία OneNote σε phishing emails ως αντικατάσταση των κακόβουλων μακροεντολών σε έγγραφα του Office. Η Microsoft απενεργοποίησε τις μακροεντολές τον Ιούλιο του 2022, αφήνοντας έτσι στους επιτιθέμενους περιορισμένες επιλογές για να πραγματοποιήσουν εκτέλεση κώδικα στις συσκευές των θυμάτων τους.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/449581/qaknote-dianomi-qbot-malware-meso-microsoft-onenote-files/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/12/Qbot-svg-min.jpg&description=Μια νέα εκστρατεία διανομής του QBot malware, με το όνομα "QakNote", έχει εντοπιστεί με κακόβουλα συνημμένα αρχεία Microsoft OneNote .one){kind=link}
Ωστόσο, οι εγκληματίες του κυβερνοχώρου έχουν τη δυνατότητα να εισάγουν σχεδόν οποιαδήποτε μορφή αρχείου σε ένα κακόβουλο έγγραφο OneNote, όπως συνημμένα αρχεία VBS ή αρχεία LNK. Στη συνέχεια εκτελούνται όταν ένας χρήστης κάνει διπλό κλικ στο ενσωματωμένο συνημμένο σε ένα OneNote Notebook (όπως και στην εκστρατεία διανομής του QBot malware).
Για να παρακινηθούν οι χρήστες να κάνουν κλικ στο ενσωματωμένο συνημμένο αρχείο, είναι απαραίτητο να χρησιμοποιηθούν τακτικές κοινωνικής μηχανικής.
Μετά την εκκίνηση, τα ενσωματωμένα συνημμένα αρχεία μπορούν να εκτελέσουν εντολές τοπικά για την ανάκτηση και εγκατάσταση κακόβουλου λογισμικού.
Δείτε επίσης: Clop ransomware για Linux: Flaw επιτρέπει την ανάκτηση αρχείων
QakNote: Διανομή του QBot malware μέσω Microsoft OneNote
Σύμφωνα με πρόσφατη έκθεση της Sophos, οι χειριστές του QBot δοκιμάζουν τη νέα τεχνική παράδοσης (συνημμένα αρχεία OneNote) από τις 31 Ιανουαρίου του τρέχοντος έτους. Οι επιτιθέμενοι χρησιμοποιούν αρχεία OneNote με ενσωματωμένο HTML application (HTA file), που χρησιμοποιείται για την ανάκτηση του QBot malware payload.
Αυτή η αλλαγή στη διανομή του QBot malware αναφέρθηκε για πρώτη φορά από τον ερευνητή της Cynet, Max Malyutin, στις 31 Ιανουαρίου 2023.
Ένα script στο αρχείο HTA θα χρησιμοποιήσει τη νόμιμη εφαρμογή curl.exe για τη λήψη ενός αρχείου DLL (που είναι το Qbot) στο φάκελο C:\ProgramData. Έπειτα, θα εκτελεστεί χρησιμοποιώντας το Rundll32.exe.
Το QBot payload εισέρχεται στο Windows Assistive Technology Manager (“AtBroker.exe”) για να κρύψει την παρουσία του και να αποφύγει τον εντοπισμό από πιθανά εργαλεία AV.
Η Sophos αναφέρει ότι οι χειριστές του QBot χρησιμοποιούν δύο μεθόδους διανομής για αυτά τα αρχεία HTA:
- αποστολή emails με ενσωματωμένο σύνδεσμο στο αρχείο .one
- χρήση της μεθόδου “thread injections”.
Η δεύτερη μέθοδος είναι μια ιδιαίτερα δύσκολη τεχνική, όπου οι χειριστές του QBot malware παραβιάζουν υπάρχοντα νήματα email και στέλνουν ένα μήνυμα “απάντηση σε όλους” στους συμμετέχοντες με ένα κακόβουλο OneNote Notebook file ως συνημμένο.
Για να γίνουν αυτές οι επιθέσεις ακόμη πιο πειστικές, οι φορείς απειλών χρησιμοποιούν ένα ψεύτικο κουμπί στο Notebook file που υποτίθεται ότι κατεβάζει το έγγραφο από το cloud, αλλά αν γίνει κλικ, εκτελεί το ενσωματωμένο συνημμένο HTA.
Δείτε επίσης: Royal Ransomware: Linux έκδοση στοχεύει VMware ESXi servers
Αν και αυτή η ενέργεια θα εμφανίσει ένα μήνυμα στο θύμα, που προειδοποιεί σχετικά με τους κινδύνους εκτέλεσης συνημμένων, υπάρχει πάντα μια πιθανότητα να αγνοηθεί.
Για την προστασία από τέτοιου είδους επιθέσεις, η Sophos προτείνει στους διαχειριστές email να αποκλείσουν όλες τις επεκτάσεις αρχείων .one, καθώς δεν αποστέλλονται συνήθως ως συνημμένα.
Το QBot είναι μια απίστευτα επικίνδυνη μορφή malware που μπορεί να έχει καταστροφικές συνέπειες για τις επιχειρήσεις εάν δεν προστατευτούν επαρκώς από αυτό. Ακολουθώντας βέλτιστες πρακτικές, όπως η αποφυγή ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου και η τακτική σάρωση των συστημάτων τους για μολύνσεις, θα μπορέσουν να προστατευτούν αποτελεσματικά από αυτή την απειλή, ενώ παράλληλα θα διατηρήσουν τα δεδομένα τους ασφαλή από τα αδιάκριτα μάτια.
Πηγή: www.bleepingcomputer.com