Специалисты ИБ-компании Sophos обнаружили новую кампанию QBot, получившую название «QakNote», которая использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном, пишет Securitylab.
В новом отчете Sophos говорится, что кампания началась 31 января 2023 года и использует файлы OneNote, содержащие встроенное HTML-приложение (HTA-файл), которое извлекает полезную нагрузку вредоносного ПО QBot. Об этом переходе в дистрибутиве QBot впервые публично сообщил исследователь Cynet Макс Малютин в Twitter * 31 января 2023 года.
Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки DLL-файла Qbot в папку «C:\ProgramData», а затем выполняется с помощью «Rundll32.exe».
Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.
Sophos сообщает, что операторы QBot используют 2 метода распространения HTA-файлов: первый — отправка электронных писем со встроенной ссылкой на заражённый файл «.one», а второй — метод «внедрения потоков».
Техника внедрения потоков представляет собой процесс, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» всем участникам потока, прикладывая к письму вредоносный файл OneNote в качестве вложения.
Чтобы сделать эти атаки еще более обманчивыми для жертв, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака, но при нажатии вместо этого запускает встроенное HTA-вложение. Хотя после нажатия на кнопку пользователю отобразится предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.
В качестве защиты от этого нового вектора атаки Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением «.one», поскольку они обычно не отправляются в виде вложений.