28/08/20
Арсенал печально известого банковского трояна Qbot пополнился новым функционалом для более эффективных атак на организации в правительственной, военной и промышленной сферах в США и странах Европы.
В частности, в рамках анализа недавних атак с использованием вредоноса Qbot специалисты компании Check Point обнаружили новую версию трояна, способную скрыто собирать электронную переписку жертвы в почтовом клиенте Outlook и использовать ее в дальнейших спам-кампаниях.
Впервые вредоносная программа Qbot (она же QuakBot, QakBot или Pinkslipbot) засветился на радарах ИБ-экспертов в 2008 году. Со временем вредонос эволюционировал из простого инфостилера в многофункциональный троян, способный распространять другие виды вредоносного ПО и даже удаленно подключаться к целевой Windows-системе для осуществления банковских транзакций с IP-адреса жертвы. Как правило, заражение Qbot осуществляется с сайтов, куда жертв заманивают с помощью техник фишинга.
Что касается новой вредоносной кампании, первый этап включает распространение целевых фишинговых писем (на тему COVID-19, уплаты налогов или предложений о найме на работу ), содержащих архив с вредоносным VBS-скриптом, который загружает дополнительные вредоносные модули, отвечающие за соединение с управляющим сервером и выполнение полученных команд.
Для придания большей достоверности фишинговым письмам злоумышленники включают в них архивную почтовую переписку между двумя сторонами. Для этого они загодя собирают переписку с помощью модуля для сбора электронных писем, который извлекает цепочки легитимных электронных писем из установленного на устройстве жертвы приложения Outlook и загружает их на удаленный сервер.
Помимо вышеуказанного функционала, Qbot способен управлять компьютером жертвы через удаленное VNC-подключение (за это отвечает hVNC плагин), а также собирать зараженные устройства в ботнет с помощью прокси-модуля.
По словам экспертов, с начала года разработчики выпустили 15 версий трояна, самая свежая из них датируется 7 августа.
