Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Банковский троян Qbot теперь может собирать почтовую переписку в Outlook

28/08/20

stealing mailАрсенал печально известого банковского трояна Qbot пополнился новым функционалом для более эффективных атак на организации в правительственной, военной и промышленной сферах в США и странах Европы.

В частности, в рамках анализа недавних атак с использованием вредоноса Qbot специалисты компании Check Point обнаружили новую версию трояна, способную скрыто собирать электронную переписку жертвы в почтовом клиенте Outlook и использовать ее в дальнейших спам-кампаниях.

Впервые вредоносная программа Qbot (она же QuakBot, QakBot или Pinkslipbot) засветился на радарах ИБ-экспертов в 2008 году. Со временем вредонос эволюционировал из простого инфостилера в многофункциональный троян, способный распространять другие виды вредоносного ПО и даже удаленно подключаться к целевой Windows-системе для осуществления банковских транзакций с IP-адреса жертвы. Как правило, заражение Qbot осуществляется с сайтов, куда жертв заманивают с помощью техник фишинга.

Что касается новой вредоносной кампании, первый этап включает распространение целевых фишинговых писем (на тему COVID-19, уплаты налогов или предложений о найме на работу ), содержащих архив с вредоносным VBS-скриптом, который загружает дополнительные вредоносные модули, отвечающие за соединение с управляющим сервером и выполнение полученных команд.

Для придания большей достоверности фишинговым письмам злоумышленники включают в них архивную почтовую переписку между двумя сторонами. Для этого они загодя собирают переписку с помощью модуля для сбора электронных писем, который извлекает цепочки легитимных электронных писем из установленного на устройстве жертвы приложения Outlook и загружает их на удаленный сервер.

Помимо вышеуказанного функционала, Qbot способен управлять компьютером жертвы через удаленное VNC-подключение (за это отвечает hVNC плагин), а также собирать зараженные устройства в ботнет с помощью прокси-модуля.

По словам экспертов, с начала года разработчики выпустили 15 версий трояна, самая свежая из них датируется 7 августа.

Темы:Угрозыэлектронная почтаMicrosoft Outlook
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...