Το malware QBot διανέμεται τώρα σε phishing campaigns που χρησιμοποιούν PDF και Windows Script Files (WSF) για να μολύνουν συσκευές Windows.
Το Qbot (γνωστό και ως QakBot) είναι ένα πρώην τραπεζικό trojan που εξελίχθηκε σε malware το οποίο παρέχει αρχική πρόσβαση σε εταιρικά δίκτυα σε άλλους χάκερς. Αυτή η πρόσβαση είναι εφικτή με την ρίψη πρόσθετων payloads, όπως τα Cobalt Strike, Brute Ratel και άλλα κακόβουλα προγράμματα που επιτρέπουν σε άλλους hackers να έχουν πρόσβαση στη μολυσμένη συσκευή.
Δείτε επίσης: QakNote: Διανομή του QBot malware μέσω Microsoft OneNote files
Χρησιμοποιώντας την πρόσβαση αυτή, οι χάκερς εξαπλώνονται πλευρικά σε ένα δίκτυο, κλέβοντας δεδομένα και τελικά αναπτύσσοντας ransomware σε επιθέσεις εκβιασμού.
Αυτό το μήνα, οι ερευνητές ασφαλείας ProxyLife και η ομάδα Cryptolaemus κατέγραψαν μιας νέα μεθόδο διανομής του QBot μέσω email-τα συνημμένα PDF τα οποία κατεβάζουν Windows Script Files για να εγκαταστήσουν το QBot στις συσκευές των θυμάτων.
Ξεκινάνε όλα από ένα email
Το QBot διανέμεται επί του παρόντος μέσω reply-chain phishing emails, αφού οι δράστες χρησιμοποιούν κλεμμένες συνομιλίες email και στη συνέχεια απαντούν σε αυτές με συνδέσμους προς κακόβουλο λογισμικό ή κακόβουλα συνημμένα αρχεία.
Η χρήση των reply-chain είναι μια προσπάθεια να καταστεί ένα phishing email λιγότερο ύποπτο, καθώς αποτελεί απάντηση σε μια τρέχουσα συζήτηση.
Τα phishing email χρησιμοποιούν διάφορες γλώσσες, γεγονός που σηματοδοτεί ότι πρόκειται για μια παγκόσμια εκστρατεία διανομής κακόβουλου λογισμικού.
Σε αυτά τα emails επισυνάπτεται ένα αρχείο PDF με την ονομασία “CancelationLetter-[αριθμός].pdf ,” το οποίο, όταν ανοίγει, εμφανίζει ένα μήνυμα που αναφέρει: «Αυτό το έγγραφο περιέχει προστατευμένα αρχεία, για να τα εμφανίσετε, κάντε κλικ στο κουμπί “άνοιγμα”.»
Πρόταση: Windows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot
Παρόλα αυτά, όταν το κουμπί πατηθεί ένα αρχείο ZIP το οποίο περιέχει ένα Windows Script (wsf) αρχείο θα κατέβει στη θέση του.
Ένα Windows Script File έχει επέκταση .wsf και μπορεί να περιέχει ένα μείγμα κώδικα JScript και VBScript που εκτελείται όταν κάνετε διπλό κλικ στο αρχείο.
Το αρχείο WSF που χρησιμοποιείται στην εκστρατεία διανομής κακόβουλου λογισμικού QBot είναι σε μεγάλο βαθμό περίπλοκο, με απώτερο στόχο την εκτέλεση ενός PowerShell script στον υπολογιστή.
To PowerShell script που εκτελείται από το αρχείο WSF επιχειρεί να κατεβάσει ένα DLL από μια λίστα με URLs. Κάθε διεύθυνση URL δοκιμάζεται μέχρι να γίνει επιτυχής λήψη του αρχείου στο φάκελο %TEMP% και να εκτελεστεί.
Όταν εκτελεστεί το QBot DLL, θα τρέξει την εντολή PING για να διαπιστώσει αν υπάρχει σύνδεση στο internet. Στη συνέχεια, το malware θα εισχωρήσει στο νόμιμο πρόγραμμα wermgr.exe (Windows Error Manager), όπου θα εκτελείται αθόρυβα στο παρασκήνιο.
Οι μολύνσεις από το malware QBot μπορούν να οδηγήσουν σε καταστροφικές επιθέσεις σε εταιρικά δίκτυα, γεγονός που καθιστά σημαντική την κατανόηση του τρόπου με τον οποίο διανέμεται το malware.
Οι θυγατρικές εταιρείες ransomware που συνδέονται με πολλαπλές επιχειρήσεις Ransomware-as-a-Service (RaaS), συμπεριλαμβανομένων των BlackBasta, REvil, PwndLocker, Egregor, ProLock και MegaCortex, έχουν χρησιμοποιήσει το Qbot για την αρχική πρόσβαση σε εταιρικά δίκτυα.
Οι ερευνητές υποστηρίζουν πως μια επίθεση QBot θέλει μόλις 30 λεπτά για να κλέψει ευαίσθητες πληροφορίες μετά την αρχική μόλυνση. Ακόμα χειρότερα, η εξάπλωση θέλει μόλις μια ώρα. Ως εκ τούτου, εάν μια συσκευή μολυνθεί από το QBot, είναι ζωτικής σημασίας να τεθεί το σύστημα εκτός λειτουργίας το συντομότερο δυνατό και να πραγματοποιηθεί πλήρης αξιολόγηση του δικτύου για ασυνήθιστη συμπεριφορά.
Διαβάστε επίσης: HTML smuggling τεχνική χρησιμοποιεί αρχεία SVG και διανέμει το QBot
πηγή πληροφοριών:bleepingcomputer.com
){kind=link}