{"id":6201,"date":"2024-02-23T20:17:02","date_gmt":"2024-02-23T19:17:02","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6201"},"modified":"2024-02-23T20:17:02","modified_gmt":"2024-02-23T19:17:02","slug":"qbot-zlonamjerni-softver-zloupotrebljava-adobe-instalaciju","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/02\/23\/qbot-zlonamjerni-softver-zloupotrebljava-adobe-instalaciju\/","title":{"rendered":"QBot zlonamjerni softver zloupotrebljava Adobe instalaciju"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Zlonamjerni akter koji stoji iza <em>QBot<\/em><a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/19\/qbot-bankarski-trojanac-u-novoj-kampanji\/\" target=\"_blank\" rel=\"nofollow noopener\"> zlonamjernog softvera<\/a> (poznatog jo\u0161 kao i <a href=\"https:\/\/www.scmagazine.com\/news\/new-qakbot-phishing-campaign-appears-months-after-fbi-takedown\" target=\"_blank\" rel=\"noopener\"><em>Qakbot<\/em><\/a>) ili neko ko ima potpuni pristup njegovom izvornom k\u00f4du testira nove verzije ovog zlonamjernog softver <a href=\"https:\/\/infosec.exchange\/@SophosXOps\/111925259679765379\" target=\"_blank\" rel=\"noopener\">pokazuju uzorci otkriveni u nedavnim kampanjama elektronske po\u0161te<\/a> od sredine decembra 2023. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna od uo\u010denih varijanti <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> koristi prevarantsku taktiku i zloupotrebljava <em>Adobe<\/em> instalaciju, predstavljaju\u0107i korisnicima la\u017eni instaler za <em>Adobe<\/em> proizvod kako bi instalirali zlonamjerni softver.<\/span><\/p>\n<div id=\"attachment_6203\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6203\" class=\"size-full wp-image-6203\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware.jpg\" alt=\"QBot\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/QBot-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6203\" class=\"wp-caption-text\"><em>QBot zlonamjerni softver zloupotrebljava Adobe instalaciju; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/02\/23\/qbot-zlonamjerni-softver-zloupotrebljava-adobe-instalaciju\/#POGLED_U_PROSLOST\">POGLED U PRO\u0160LOST<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/02\/23\/qbot-zlonamjerni-softver-zloupotrebljava-adobe-instalaciju\/#NOVA_QBOT_VARIJANTA\">NOVA QBOT VARIJANTA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/02\/23\/qbot-zlonamjerni-softver-zloupotrebljava-adobe-instalaciju\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/02\/23\/qbot-zlonamjerni-softver-zloupotrebljava-adobe-instalaciju\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"POGLED_U_PROSLOST\"><\/span><span style=\"font-size: 14pt;\"><strong>POGLED U PRO\u0160LOST<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>QBot<\/em> zlonamjerni softver je dugo funkcionisao kako na\u010din za isporuku razli\u010ditih zlonamjernih sadr\u017eaja, recimo <em>ransomware<\/em> zlonamjernog softvera, \u010dija se distribucija obi\u010dno vr\u0161ila preko elektronske po\u0161te. Do uspje\u0161nog poreme\u0107aja i zapljene servera u avgustu 2023. godine, pretpostavlja se da je ovaj zlonamjerni softver zarazio preko 700.000 sistema, uzrokuju\u0107i finansijsku \u0161tetu od 49 miliona ameri\u010dkih dolara za samo 18 mjeseci.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Operacija pod nazivom \u201c<em>Lov na patke<\/em>\u201d (eng. <em>Duck Hunt<\/em>) koja je poremetila funkcionisanje ovog zlonamjernog softvera, uklju\u010divala je me\u0111unarodnu saradnju sa zemljama kao \u0161to su Francuska, Njema\u010dka, Holandija, Ujedinjeno Kraljevstvo, Rumunija i Letonija. Kao \u0161to se pretpostavilo, poreme\u0107aj <em>QBot<\/em> mre\u017ee nije jednak uni\u0161tenju, pa se oporavak mogao i o\u010dekivati.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U decembru 2023. godine je <a href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/\" target=\"_blank\" rel=\"nofollow noopener\">identifikovana <em>phishing<\/em> kampanja pod maskom poreske uprave<\/a>, koja je samo potvrdila da poreme\u0107aj nije jednak uni\u0161tenju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NOVA_QBOT_VARIJANTA\"><\/span><span style=\"font-size: 14pt;\"><strong>NOVA <em>QBOT<\/em> VARIJANTA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su nakon sprovedene analize uo\u010denih uzoraka zlonamjernog softvera <em>QBot <\/em>zaklju\u010dili da je u pitanju testiranje i usavr\u0161avanje od strane programera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uzorci iz decembra 2023. godine i januara 2024. godine su distribuirani su kao izvr\u0161ni programi <em>Microsoft Software Installer<\/em> (.<em>MSI<\/em>), koji je zatim primijenjen kroz binarnu <em>DLL<\/em> datoteku uz pomo\u0107 .<em>CAB<\/em> (<em>Windows<\/em> <em>Cabinet<\/em>) arhive. Ovaj metod odstupa od prethodnih verzija, koje su se oslanjale na ubacivanje k\u00f4da u legitimne <em>Windows<\/em> procese (kao \u0161to su <em>AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe<\/em>) da bi se izbjeglo otkrivanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Najnovije varijante koriste napredne tehnike zamagljivanja, uklju\u010duju\u0107i pobolj\u0161ano \u0161ifrovanje za prikrivanje nizova i komunikaciju komandi i kontrole (<em>C2<\/em>). Konkretno, zlonamjerni softver sada koristi <em>AES-256<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripciju<\/a> uz <em>XOR<\/em> metod koji je primije\u0107en u starijim verzijama. Zlonamjerni softver sprovodi provjere na prisustvo <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnog softvera<\/a> za za\u0161titu krajnjih ta\u010daka i ponovo je uveo provjere za virtualna okru\u017eenja. Ako otkrije virtualnu ma\u0161inu, pokrec\u0301e beskona\u010dnu petlju u poku\u0161aju da izbjegne otkrivanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>QBot<\/em> koristi obmanjujuc\u0301i iska\u010duc\u0301i prozor koji la\u017eno ukazuje da je <em>Adobe<\/em> pode\u0161avanje u toku na sistemu. Ova obmanjujuc\u0301a taktika ima za cilj da obmane korisnike predstavljanjem la\u017enih uputstava za instalaciju, \u0161to na kraju pokrec\u0301e zlonamjerni softver bez obzira na interakciju korisnika sa upitima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Iako je <em>QBot<\/em> zlonamjerni softver do\u017eivio poreme\u0107aj funkcionisanja kroz me\u0111unarodnu saradnju nekoliko zemalja, jasno je pokazao da poreme\u0107aj nije jednak uni\u0161tenju i opravdao je strahove o svom povratku. Zbog toga se sigurnosni istra\u017eiva\u010di se sla\u017eu da je pa\u017eljivo pra\u0107enje evolucije <em>QBot<\/em> zlonamjernog softvera jedini na\u010din koji omogu\u0107ava pravovremeno a\u017euriranje protokola za otkrivanje i \u0161irenje vitalnih informacija za za\u0161titu korisnika i poslovnih organizacija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><strong>\u00a0<\/strong><\/span><span style=\"font-size: 14pt;\">Kako bi se za\u0161titili, korisnici mogu slijediti ove preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Redovno odr\u017eavanje programa obuke korisnika kako bi se edukovali o na\u010dinima prepoznavanja <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napada, zlonamjernih aktivnosti i drugih povezanih aktivnosti, kako bi se kod korisnika stvorila kultura svjesne <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> koja \u0107e omogu\u0107iti prepoznavanje i prijavu sumnjivih aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena sigurnosna rije\u0161enja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pra\u0107enje mre\u017enog saobra\u0107aja radi neuobi\u010dajenih aktivnosti i porasta zahteva, kao i redovni pregled i a\u017euriranje procesa i alata za analizu mre\u017enog saobra\u0107aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera je klju\u010dno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbjednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primjenom ovih a\u017euriranja, korisnici mogu da zatvore potencijalne ulazne ta\u010dke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti segmentaciju mre\u017ee kako bi se odvojili vitalni sistemi od manje sigurnih oblasti mre\u017ee uz ograni\u010denje ne\u017eeljene komunikacije izme\u0111u segmenata,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">pravljenje rezervnih kopija<\/a> uz pravilnu strategiju \u010duvanja je posljednja odbrana od gubitka podataka i omogu\u0107ava njihovo vra\u0107anje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Dobar <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovara na sajber prijetnju<\/a> je klju\u010dan za svaku organizaciju kako bi mogla da brzo reaguje u slu\u010daj sajber incidenta.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Zlonamjerni akter koji stoji iza QBot zlonamjernog softvera (poznatog jo\u0161 kao i Qakbot) ili neko ko ima potpuni pristup njegovom izvornom k\u00f4du testira nove verzije ovog zlonamjernog softver pokazuju uzorci otkriveni u nedavnim kampanjama&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6203,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[814,820,817,815,816,636,350,133,818,819],"class_list":["post-6201","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-adobe","tag-aes-256","tag-cab","tag-microsoft-software-installer","tag-msi","tag-qakbot","tag-qbot","tag-ransomware","tag-windows-cabinet","tag-xor"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6201"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6201\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6203"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6201"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}