Το QakBot (ή QBot) malware χρησιμοποιείται και πάλι σε phishing επιθέσεις, μετά τη διακοπή λειτουργίας του από τις αρχές επιβολής του νόμου το καλοκαίρι.
Τον Αύγουστο, μια διεθνής επιχείρηση από τις αρχές επιβολής του νόμου, που ονομάζεται Operation Duck Hunt, επέτρεψε την πρόσβαση στους διακομιστές του διαχειριστή του QakBot και χαρτογράφησε την υποδομή του botnet.
Οι αρχές απέκτησαν πρόσβαση στα κλειδιά κρυπτογράφησης του botnet που χρησιμοποιούνταν για την επικοινωνία κακόβουλου λογισμικού και το FBI μπόρεσε να παραβιάσει το botnet για να προωθήσει ένα custom Windows DLL module σε μολυσμένες συσκευές. Αυτό το DLL εκτέλεσε μια εντολή που τερμάτισε το κακόβουλο λογισμικό QakBot, διακόπτοντας ουσιαστικά τη λειτουργία του botnet.
Όμως, την περασμένη εβδομάδα, εντοπίστηκε μια νέα phishing καμπάνια που διανέμει το Qbot malware.
Δείτε επίσης: Τα DarkGate και PikaBot malware γεμίζουν το κενό που άφησε το Qakbot (QBot)
Σύμφωνα με τη Microsoft, το QakBot διανέμεται τώρα μέσω ενός email που υποτίθεται ότι προέρχεται από έναν υπάλληλο της IRS.
Η Microsoft λέει ότι παρατήρησε για πρώτη φορά την επίθεση phishing στις 11 Δεκεμβρίου σε μια μικρή καμπάνια, που στόχευε τον κλάδο της φιλοξενίας.
Στο phishing email επισυνάπτεται ένα αρχείο PDF που προσποιείται ότι είναι μια λίστα προσκεκλημένων που λέει “Document preview is not available” και, στη συνέχεια, ζητά από τον χρήστη να πραγματοποιήσει λήψη του PDF για να το δει σωστά.
Ωστόσο, αν κάποιος προσπαθήσει να κατεβάσει το PDF, θα κατεβάσει ένα MSI που, όταν εγκατασταθεί, ξεκινά το Qakbot malware DLL στη μνήμη.
Η Microsoft λέει ότι το DLL δημιουργήθηκε στις 11 Δεκεμβρίου, την ίδια ημέρα που ξεκίνησε η phishing εκστρατεία. Χρησιμοποιεί τον campaign code “tchk06” και command and control servers στα 45.138.74.191:443 και 65.108.218.24:443.
“Το πιο αξιοσημείωτο είναι ότι το Qakbot payload που παραδόθηκε, διαμορφώθηκε με την έκδοση 0x500 που δεν είχε προηγουμένως εμφανιστεί”, έγραψε η Microsoft στο Twitter, υποδεικνύοντας τη συνεχιζόμενη ανάπτυξη του κακόβουλου λογισμικού.
Δείτε επίσης: QakBot, SocGholish και Raspberry Robin: Οι πιο δημοφιλείς malware loaders του 2023
Δεν μπορούμε να γνωρίζουμε αν το Qbot θα αποκτήσει τη δυναμική που είχε νωρίτερα, αλλά οι διαχειριστές και οι χρήστες πρέπει να είναι σε επιφυλακή.
Λίγα πράγματα για το Qbot malware
Το QakBot ή Qbot malware ξεκίνησε ως banking trojan το 2008, για την κλοπή τραπεζικών credentials, website cookies και πιστωτικών καρτών.
Με την πάροδο του χρόνου, το κακόβουλο λογισμικό εξελίχθηκε σε υπηρεσία παράδοσης κακόβουλου λογισμικού, σε συνεργασία με άλλους παράγοντες απειλών για την παροχή αρχικής πρόσβασης σε δίκτυα. Στη συνέχεια, οι επιτιθέμενοι χρησιμοποιούσαν την αρχική πρόσβαση για τη διεξαγωγή επιθέσεων ransomware, κατασκοπείας ή κλοπής δεδομένων.
Το Qakbot διανέμεται, συνήθως, μέσω phishing emails με κακόβουλα συνημμένα έγγραφα.
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό εισάγει ένα DLL σε μια νόμιμη διαδικασία των Windows, όπως το wermgr.exe ή το AtBroker.exe, και εκτελείται αθόρυβα στο παρασκήνιο κατά την ανάπτυξη πρόσθετων κακόβουλων payloads.
Στο παρελθόν, το Qakbot έχει συνεργαστεί με πολλαπλές λειτουργίες ransomware, συμπεριλαμβανομένων των Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex και, πιο πρόσφατα, Black Basta και BlackCat/ALPHV.
Δείτε επίσης: KV-botnet: Παραβιάζει δρομολογητές SOHO και συσκευές VPN
Μέτρα προστασίας
Ένα από τα σημαντικότερα μέτρα προστασίας για την αποτροπή του Qbot malware είναι η ενημέρωση και η εγκατάσταση των τελευταίων ενημερώσεων λογισμικού σε όλες τις συσκευές. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την εισβολή του malware.
Επίσης, η εγκατάσταση ενός αξιόπιστου antivirus λογισμικού είναι ζωτικής σημασίας για την προστασία από το Qbot malware. Ένα καλό πρόγραμμα θα ανιχνεύσει και θα απομακρύνει το malware πριν προλάβει να προκαλέσει ζημιές.
Επιπλέον, η προσοχή κατά την περιήγηση στο διαδίκτυο είναι απαραίτητη. Αποφύγετε την επίσκεψη σε ύποπτες ιστοσελίδες ή το κλικ σε αναπάντεχους συνδέσμους. Επίσης, αποφύγετε το άνοιγμα επισυναπτόμενων αρχείων ή email από άγνωστους αποστολείς, καθώς μπορεί να περιέχουν το Qbot malware.
Τέλος, τακτικά αντίγραφα ασφαλείας των δεδομένων σας είναι σημαντικά για την προστασία από το Qbot malware. Αν γίνει η εισβολή του malware, ένα αντίγραφο ασφαλείας θα σας επιτρέψει να επαναφέρετε τα δεδομένα σας χωρίς να πληρώσετε λύτρα ή να χάσετε τις πληροφορίες σας.
Πηγή: www.bleepingcomputer.com
 malware χρησιμοποιείται και πάλι σε phishing επιθέσεις, μετά τη διακοπή λειτουργίας του από τις αρχές επιβολής του νόμου){kind=link}