Это вредоносное ПО читает вашу электронную почту всего через 30 минут после заражения вашего компьютера.

Qbot, также известный как Qakbot или QuakBot, — это старая программная угроза для пользователей Windows, которая появилась еще до первого iPhone, но ее все еще улучшают из-за гнусной эффективности.

Вредоносная программа появилась в 2007 году, что сделало ее почти антиквариатом в новом мире сервисных программ-вымогателей, но вредоносная программа по-прежнему шустра и эффективна. Согласно анализу образца, обнаруженного его исследователями в октябре, отделом кибербезопасности DFIR..

Qbot известен попадание на ПК с Windows через фишинговые электронные письма и использование ошибок в ключевых приложениях, таких как почтовый клиент Microsoft Outlook. Вредоносное ПО недавно получило модуль, который читает ветки электронной почты, чтобы повысить очевидную легитимность сообщения для жертв.

ВИДЕТЬ: Кибербезопасность: давайте займемся тактикой (специальный репортаж ZDNet)

Операторы вредоносного ПО полагаются на кликабельные фишинговые сообщения, в том числе напоминания об уплате налогов, предложения о работе и оповещения о COVID-19. Он может украсть данные из Chrome, Edge, электронной почты и паролей онлайн-банка.

Исследователи DFIR рассмотрели случай, когда первоначальный доступ не был известен, но, вероятно, был предоставлен через испорченный документ Microsoft Excel. который был настроен на загрузку вредоносного ПО с веб-страницы, а затем использовал задачу расписания Windows для получения более высокого уровня доступа к система.

Авторы Qbot научились жить за счет земли, используя законные инструменты Microsoft. В данном случае он использовал эти инструменты для рейда на всю сеть в течение 30 минут после того, как жертва нажала на ссылку в листе Excel.

«Через тридцать минут после первоначального доступа Qbot собирал данные с хоста-плацдарма, включая данные браузера и электронные письма из Outlook. Примерно через 50 минут после заражения хост-плацдарм скопировал библиотеку Qbot dll на соседнюю рабочую станцию, которая затем была запущена путем удаленного создания службы. Через несколько минут хост-плацдарм сделал то же самое с другой соседней рабочей станцией, а затем еще с одной, и прежде чем мы успели это осознать, все рабочие станции в среде были скомпрометированы».

По данным DFIR, атака затронула компьютеры в сети, но не серверы.

Операторы Qbot занялись программами-вымогателями. Охранная фирма Касперский сообщили, что вредоносное ПО Qbot заразило на 65% больше компьютеров за шесть месяцев до июля 2021 года по сравнению с прошлым годом. Microsoft выделила вредоносное ПО из-за его модульной конструкции, из-за которой его трудно обнаружить.

Вредоносное ПО скрывает вредоносные процессы и создает запланированные задачи, которые сохраняются на компьютере. При запуске на зараженном устройстве он использует несколько методов бокового перемещения.

У ФБР есть предупредил, что трояны Qbot используются для распространения ProLock, «программы-вымогателя, управляемой человеком».