HomesecurityQBot: Διανέμεται πλέον με email μέσω PDF και WSF συνημμένα

QBot: Διανέμεται πλέον με email μέσω PDF και WSF συνημμένα

Το malware QBot διανέμεται τώρα σε phishing campaigns που χρησιμοποιούν PDF και Windows Script Files (WSF) για να μολύνουν συσκευές Windows.

Το Qbot (γνωστό και ως QakBot) είναι ένα πρώην τραπεζικό trojan που εξελίχθηκε σε malware το οποίο παρέχει αρχική πρόσβαση σε εταιρικά δίκτυα σε άλλους χάκερς. Αυτή η πρόσβαση είναι εφικτή με την ρίψη πρόσθετων payloads, όπως τα Cobalt Strike, Brute Ratel και άλλα κακόβουλα προγράμματα που επιτρέπουν σε άλλους hackers να έχουν πρόσβαση στη μολυσμένη συσκευή.

See also: QakNote: Διανομή του QBot malware μέσω Microsoft OneNote files

Χρησιμοποιώντας την πρόσβαση αυτή, οι χάκερς εξαπλώνονται πλευρικά σε ένα δίκτυο, κλέβοντας δεδομένα και τελικά αναπτύσσοντας ransomware σε επιθέσεις εκβιασμού.

Αυτό το μήνα, οι ερευνητές ασφαλείας ProxyLife και η ομάδα Cryptolaemus κατέγραψαν μιας νέα μεθόδο διανομής του QBot μέσω email-τα συνημμένα PDF τα οποία κατεβάζουν Windows Script Files για να εγκαταστήσουν το QBot στις συσκευές των θυμάτων.

Ξεκινάνε όλα από ένα email

Το QBot διανέμεται επί του παρόντος μέσω reply-chain phishing emails, αφού οι δράστες χρησιμοποιούν κλεμμένες συνομιλίες email και στη συνέχεια απαντούν σε αυτές με συνδέσμους προς κακόβουλο λογισμικό ή κακόβουλα συνημμένα αρχεία.

Η χρήση των reply-chain είναι μια προσπάθεια να καταστεί ένα phishing email λιγότερο ύποπτο, καθώς αποτελεί απάντηση σε μια τρέχουσα συζήτηση.

QBot email phishing

Τα phishing email χρησιμοποιούν διάφορες γλώσσες, γεγονός που σηματοδοτεί ότι πρόκειται για μια παγκόσμια εκστρατεία διανομής κακόβουλου λογισμικού.

Σε αυτά τα emails επισυνάπτεται ένα αρχείο PDF με την ονομασία “CancelationLetter-[αριθμός].pdf ,” το οποίο, όταν ανοίγει, εμφανίζει ένα μήνυμα που αναφέρει: «Αυτό το έγγραφο περιέχει προστατευμένα αρχεία, για να τα εμφανίσετε, κάντε κλικ στο κουμπί “άνοιγμα”.»

Motion: Windows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot

Παρόλα αυτά, όταν το κουμπί πατηθεί ένα αρχείο ZIP το οποίο περιέχει ένα Windows Script (wsf) αρχείο θα κατέβει στη θέση του.

Ένα Windows Script File έχει επέκταση .wsf και μπορεί να περιέχει ένα μείγμα κώδικα JScript και VBScript που εκτελείται όταν κάνετε διπλό κλικ στο αρχείο.

QBot wsf file

Το αρχείο WSF που χρησιμοποιείται στην εκστρατεία διανομής κακόβουλου λογισμικού QBot είναι σε μεγάλο βαθμό περίπλοκο, με απώτερο στόχο την εκτέλεση ενός PowerShell script στον υπολογιστή.

To PowerShell script που εκτελείται από το αρχείο WSF επιχειρεί να κατεβάσει ένα DLL από μια λίστα με URLs. Κάθε διεύθυνση URL δοκιμάζεται μέχρι να γίνει επιτυχής λήψη του αρχείου στο φάκελο %TEMP% και να εκτελεστεί.

Όταν εκτελεστεί το QBot DLL, θα τρέξει την εντολή PING για να διαπιστώσει αν υπάρχει σύνδεση στο internet. Στη συνέχεια, το malware will εισχωρήσει στο νόμιμο πρόγραμμα wermgr.exe (Windows Error Manager), όπου θα εκτελείται αθόρυβα στο παρασκήνιο.

QBot Windows Error Manager injection

Οι μολύνσεις από το malware QBot μπορούν να οδηγήσουν σε καταστροφικές επιθέσεις σε εταιρικά δίκτυα, γεγονός που καθιστά σημαντική την κατανόηση του τρόπου με τον οποίο διανέμεται το malware.

Οι θυγατρικές εταιρείες ransomware που συνδέονται με πολλαπλές επιχειρήσεις Ransomware-as-a-Service (RaaS), συμπεριλαμβανομένων των BlackBasta, REvil, PwndLocker, Egregor, ProLock και MegaCortex, έχουν χρησιμοποιήσει το Qbot για την αρχική πρόσβαση σε εταιρικά δίκτυα.

Οι ερευνητές υποστηρίζουν πως μια επίθεση QBot θέλει μόλις 30 λεπτά για να κλέψει ευαίσθητες πληροφορίες μετά την αρχική μόλυνση. Ακόμα χειρότερα, η εξάπλωση θέλει μόλις μια ώρα. Ως εκ τούτου, εάν μια συσκευή μολυνθεί από το QBot, είναι ζωτικής σημασίας να τεθεί το σύστημα εκτός λειτουργίας το συντομότερο δυνατό και να πραγματοποιηθεί πλήρης αξιολόγηση του δικτύου για ασυνήθιστη συμπεριφορά.

Read also: HTML smuggling τεχνική χρησιμοποιεί αρχεία SVG και διανέμει το QBot

πηγή πληροφοριών:bleepingcomputer.com

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Subscribe to the Newsletter

* indicates required

FOLLOW US

LIVE NEWS