Троян Qbot ворует цепочки писем для заражения других жертв

Дата: 28.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности

ИБ-эксперты компании Check Point снова выявили активность вредоносного ПО для банковских операций и похищения информации Qbot (QakBot). Этот вредонос работает уже более 10 лет, активно заражая новых жертв.

После проникновения в систему Qbot старается украсть сохраненные пароли, файлы cookie, данные банковских карт, электронную почту и учетные данные онлайн-банкинга своих жертв. Также известно, что этот троян загружает и устанавливает на зараженные компьютеры другое вредоносное ПО. С июля 2020 года Qbot является предпочтительным вредоносным ПО для известного ботнета Emotet.

В соответствии с новым отчетом Check Point, QBot продолжает использовать тактику, ранее применявшуюся банковским трояном Gozi ISFB, трояном для похищения данных URSNIF и трояном Emotet. Фишинг с цепочкой ответов представляет собой кибератаку, когда хакеры используют украденную цепочку писем, а затем отвечают на нее своим собственным сообщением и прикрепленным вредоносным документом.

Фишинговое письмо с цепочкой ответов

После заражения жертв одним из вредоносных действий, выполняемых Qbot, осуществляется похищение электронных писем из клиента Outlook пользователя. Украденные электронные письма после отправляются на серверы киберпреступников для применения в дальнейших спам-кампаниях, нацеленных на иных возможных жертв.

Этот тип кибератаки делает фишинговую кампанию более правдоподобной, особенно когда она используется против тех, кто находится в исходной цепочке. Эксперты из Check Point обнаружили, что эти кибератаки с использованием цепочки содержат архивные вложения с вредоносными сценариями VBS. При выполнении эти сценарии VBS загружают вредоносный софт Qbot в систему и заражают пользователя.

Цепочка заражения

ИБ-специалисты Check Point также обнаружили перехваченные цепочки писем, которые используются в текущих фишинговых кампаниях по темам, связанным с напоминаниями об уплате налогов, пандемией Covid-19 и предложениями о работе.

Вредоносная программа Qbot также известна тем, что заражает другие устройства в той же сети с помощью эксплойтов сетевых ресурсов, а также крайне агрессивными атаками, нацеленными на учетные записи администраторов Active Directory.

Атаки Qbot за историю существования этого вредоносного ПО были достаточно редкими: эксперты по информационной безопасности обнаружили одну в октябре 2014 г., одну в апреле 2016 г., а также еще одну в середине мая 2017 г.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

11 + 10 =