QBot bankarski trojanac u novoj kampanji
Sigurnosni istraživači iz kompanije Kaspersky su otkrili QBot bankarski trojanac u novoj kampanji kako koristi presretnutu poslovnu prepisku kako bi prevario korisnike da instaliraju zlonamjerni softver.
QBot bankarski trojanac u novoj kampanji; Dizajn: Dizajn Saša Đurić
Šta znamo o QBot bankarskom trojancu?
QBot, poznat još pod nazivima Qakbot ili Pinkslipbot, je bankarski trojanac koji je prvi put otkriven od strane sigurnosnih istraživača 2007. godine. Osim što krade lozinke i kolačiće iz Internet pregledača, on služi i kao zadnja vrata (eng. backdoor) za ubacivanje korisnog tereta sljedeće faze kao što su Cobalt Strike ili ransomvare.
Širi se putem phishing kampanja i konstantno se unapređuje, počevši od tehnika protiv virtualnih mašina, protiv otklanjanja grešaka i izbjegavanja pokretanja u izolovanom okruženju (eng. sandbox) kako bi izbjegao otkrivanje. Stalne i višestruke modifikacije i poboljšanja su ga svrstali kao jednog od najrasprostranjenijih zlonamjernih softvera ove godine.
Ransomvare zlonamjerni softveri povezani sa više operacija ransomvare kao usluga (Ransomvare-as-a-Service – RaaS), uključujući BlackBasta, REvil, PvndLocker, Egregor, ProLock i MegaCortek su koristili QBot za početni pristup korisničkim uređajima i poslovnim organizacijama.
Infekcije QBot zlonamjernim softverom mogu dovesti do razornih napada na korisnike i poslovne organizacije, zbog čega je od vitalnog značaja da se razume kako se ovaj zlonamjerni softver širi u kibernetičkom prostoru.
Nova kampanja
Sajber napadi koji koriste bankarski trojanac QBot ciljaju kompanije u Njemačkoj, Argentini i Italiji od 4. aprila otimanjem poslovne elektronske pošte.
U najnovijoj kampanji, zlonamjerni softver se isporučuje putem elektronske pošte napisane na engleskom, njemačkom, italijanskom i francuskom. Poruke su zasnovane na stvarnoj poslovnoj elektronskoj pošti kojoj su napadači dobili pristup, što im daje priliku da se pridruže nizu prepiske sa sopstvenim porukama. Putem takve elektronske pošte, napadači bi pokušavaju da ubijede korisnika da preuzme priloženi PDF, koji bi im na kraju pomogao da instaliraju QBot trojanac na korisnikov uređaj.
Proces infekcije uređaja
Kampanja isporuke zlonamjernog softvera QBot počinje sa elektronskom poštom u kojoj se nalazi PDF datoteka u prilogu koja se šalje žrtvi. Sadržaj PDF datoteke oponaša Microsoft Office 365 ili Microsoft Azure upozorenje, odnosno preporučuje da korisnik klikne na “Open” kako bi vidio dokumente u prilogu”.
PDF document used to distribute malicious WSF files; Source: BleepingComputer
Kada se otvori, dolazi do preuzimanja arhive sa udaljenog servera u kojoj se nalazi .wsf (Windows Script File) datoteka koja sadrži zamagljenu skriptu napisanu u Jscript-u. Kada se .wsf datoteka demaskira, otkriva se PowerShell skripta za preuzimanje korisnog tereta virusa. Kada se izvrši, PowerShell skripta na uređaju pokreće preuzimanje QBot trojanca koji onda pokušava da ukrade korisničke finansijske informacije.
Zaštita
U zadnje vrijeme primjetna je evolucija u širenju trojanaca. Ranije je širenje ovog zlonamjernog softvera išlo preko zaraženih Internet stranica i piratskog sadržaja, dok se danas to odvija preko drugih zlonamjernih softvera koji se već nalaze na korisničkom uređaju, korištenjem phishing kampanja i socijalnog inženjeringa.
Istraživanja su pokazala da je bankarskom trojancu QBot potrebno oko 30 minuta da izvrši krađu korisničkih informacija sa uređaja od trenutka uspješne infekcije uređaja. Još lošija vijest za korisnike je ta, što ovom zlonamjernom softveru treba samo oko sat vremena da se proširi i na susjedne korisničke uređaje. Zbog toga, ako se uređaj zarazi QBot zlonamjernim softverom, ključno je da se uređaj isključi što je pre moguće i da se izvrši potpuna provjera mreže tražeći neuobičajena ponašanja.
Korisnici bi trebalo da izbjegavaju preuzimanje izvršnih datoteka sa nepouzdanih Internet lokacija, budu veoma oprezni sa datotekama koje stižu kao prilozi elektronske pošte od nepoznatih pošiljalaca i održavaju sistem i antivirusni softver ažuriranim. Za korisnike je važno održavanje jakih mjera sajber bezbjednosti za sprečavanje ovakvih napada, kao i potrebu za stalnim praćenjem novih informacija vezanim za ove vrste zlonamjernih softvera kako bi bili ispred prijetnji koje se razvijaju. Kako raste učestalost i sofisticiranost ovih napada, od suštinskog je značaja za organizacije da ostanu budne i proaktivne u svojim naporima da se zaštite.
