Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Операторы QBot теперь используют OneNote для распространения трояна по электронной почте

09/02/23

Специалисты ИБ-компании Sophos обнаружили новую кампанию QBot, получившую название «QakNote», которая использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном, пишет Securitylab.

В новом отчете Sophos говорится, что кампания началась 31 января 2023 года и использует файлы OneNote, содержащие встроенное HTML-приложение (HTA-файл), которое извлекает полезную нагрузку вредоносного ПО QBot. Об этом переходе в дистрибутиве QBot впервые публично сообщил исследователь Cynet Макс Малютин в Twitter * 31 января 2023 года.

Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки DLL-файла Qbot в папку «C:\ProgramData», а затем выполняется с помощью «Rundll32.exe».

Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.

Sophos сообщает, что операторы QBot используют 2 метода распространения HTA-файлов: первый — отправка электронных писем со встроенной ссылкой на заражённый файл «.one», а второй — метод «внедрения потоков».

Техника внедрения потоков представляет собой процесс, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» всем участникам потока, прикладывая к письму вредоносный файл OneNote в качестве вложения.

Чтобы сделать эти атаки еще более обманчивыми для жертв, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака, но при нажатии вместо этого запускает встроенное HTA-вложение. Хотя после нажатия на кнопку пользователю отобразится предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.

yrgjp62uxjsnbn5efycb9tb23juq8qh3

В качестве защиты от этого нового вектора атаки Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением «.one», поскольку они обычно не отправляются в виде вложений.

Темы:УгрозытрояныSophosэлектронная почтаHTML
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...