Qbot — старое вредоносное ПО, но его операторы ценят эффективность.
Qbot, также известный как Qakbot или QuakBot, — это старая программная угроза для пользователей Windows, которая появилась еще до первого iPhone, но ее все еще улучшают из-за гнусной эффективности.
Вредоносная программа появилась в 2007 году, что сделало ее почти антиквариатом в новом мире сервисных программ-вымогателей, но вредоносная программа по-прежнему шустра и эффективна. Согласно анализу образца, обнаруженного его исследователями в октябре, отделом кибербезопасности DFIR..
ЗДНЕТ Рекомендует
- Лучшие VPN-сервисы
- Лучшие ключи безопасности
- Лучшее антивирусное программное обеспечение
- Самые быстрые VPN
Qbot известен попадание на ПК с Windows через фишинговые электронные письма и использование ошибок в ключевых приложениях, таких как почтовый клиент Microsoft Outlook. Вредоносное ПО недавно получило модуль, который читает ветки электронной почты, чтобы повысить очевидную легитимность сообщения для жертв.
ВИДЕТЬ: Кибербезопасность: давайте займемся тактикой (специальный репортаж ZDNet)
Операторы вредоносного ПО полагаются на кликабельные фишинговые сообщения, в том числе напоминания об уплате налогов, предложения о работе и оповещения о COVID-19. Он может украсть данные из Chrome, Edge, электронной почты и паролей онлайн-банка.
Исследователи DFIR рассмотрели случай, когда первоначальный доступ не был известен, но, вероятно, был предоставлен через испорченный документ Microsoft Excel. который был настроен на загрузку вредоносного ПО с веб-страницы, а затем использовал задачу расписания Windows для получения более высокого уровня доступа к система.
Авторы Qbot научились жить за счет земли, используя законные инструменты Microsoft. В данном случае он использовал эти инструменты для рейда на всю сеть в течение 30 минут после того, как жертва нажала на ссылку в листе Excel.
«Через тридцать минут после первоначального доступа Qbot собирал данные с хоста-плацдарма, включая данные браузера и электронные письма из Outlook. Примерно через 50 минут после заражения хост-плацдарм скопировал библиотеку Qbot dll на соседнюю рабочую станцию, которая затем была запущена путем удаленного создания службы. Через несколько минут хост-плацдарм сделал то же самое с другой соседней рабочей станцией, а затем еще с одной, и прежде чем мы успели это осознать, все рабочие станции в среде были скомпрометированы».
По данным DFIR, атака затронула компьютеры в сети, но не серверы.
Операторы Qbot занялись программами-вымогателями. Охранная фирма Касперский сообщили, что вредоносное ПО Qbot заразило на 65% больше компьютеров за шесть месяцев до июля 2021 года по сравнению с прошлым годом. Microsoft выделила вредоносное ПО из-за его модульной конструкции, из-за которой его трудно обнаружить.
Вредоносное ПО скрывает вредоносные процессы и создает запланированные задачи, которые сохраняются на компьютере. При запуске на зараженном устройстве он использует несколько методов бокового перемещения.
У ФБР есть предупредил, что трояны Qbot используются для распространения ProLock, «программы-вымогателя, управляемой человеком».
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше