Povratak QakBot zlonamjernog softvera

AUTOR ·

Povratak QakBot zlonamjernog softvera je stvarnost, pošti se ponovo vrši njegova distribucija u phishing kampanjama nakon što je botnet bio prekinut strane organa za sprovođenje zakona tokom ljeta.

QakBot

Povratak QakBot zlonamjernog softvera; Source: Bing Image Creator

QAKBOT PAD

Zlonamjerni softver Qakbot, poznat još i kao Qbot, počeo je kao bankarski zlonamjerni softver, ali je doživio evoluciju u svestrano sredstvo za distribuciju zlonamjernog softvera i ransomware-a. Za svoj uspjeh u prošlosti može da zahvali tome tome što njegovi operateri povremeno mijenjaju svoje alate i taktike, zaustavljajući napade neželjene elektronske pošte na duže periode pre nego što se vrate sa novim strategijama za napad na korisnike.

U avgustu ove godine, Ministarstvo pravde SAD je uspješno poremetilo Qakbot botnet tako što je zaplijenilo 52 servera i uklonilo učitavač zlonamjernog softvera sa preko 700.000 računara žrtava širom sveta. Operacija pod nazivom “Lov na patke” (eng. Duck Hunt) uključivala je međunarodnu saradnju sa zemljama kao što su Francuska, Njemačka, Holandija, Ujedinjeno Kraljevstvo, Rumunija i Letonija. Kao što se pretpostavilo, poremećaj Qakbot mreže nije jednak uništenju, pa se oporavak mogao i očekivati.

 

QAKBOT POVRATAK

Kompanija Microsoft upozorava korisnike da se QakBot ponovo distribuira u phishing kampanji koja oponaša elektronsku poštu zaposlenog u poreskoj upravi. Napad je prvi put primijećen 11. decembra u manjoj kampanji koja je bila usmjerena na ugostiteljsku industriju.

 

Funkcionisanje

U prilogu elektronske pošte je PDF datoteka koja se pretvara da je lista gostiju. Kako bi prevarili korisnika da je preuzme, zlonamjerni akteri su se pobrinuli za poruku “Pregled dokumenta nije dostupan” (eng. Document preview is not available), a zatim se od korisnika traži da preuzme PDF da bi ga pravilno pregledao.

Kada korisnik klikne na dugme za preuzimanje, dolazi do preuzimanja MSI datoteke, koja kada se instalira, pokreće Qakbot zlonamjerni softver u DLL memoriju.

 

Modifikacije

U DLL datoteci nove verzije QakBot zlonamjernog softvera postoje manje izmjene, uključujući korištenje AES algoritma za dešifrovanje stringova umjesto XOR u prethodnoj verziji. Sigurnosni istraživači smatraju da se ova verzija još razvija, jer sadrži neke neobične greške.

 

ŠTA JE QAKBOT?

QakBot ili Qbot je počeo je kao bankarski trojanac 2008. godine, a zlonamjerni akteri su ga koristili za krađu bankarskih akreditiva, kolačića internet lokacija i kreditnih kartica za finansijsku prevaru.

Vremenom je zlonamjerni softver evoluirao u uslugu isporuke zlonamjernog softvera, udruživši se sa drugim zlonamjernim akterima kako bi obezbijedio početni pristup mrežama za vršenje ransomware napada, špijunažu ili krađu podataka.

Ovaj zlonamjerni softver se distribuira putem phishing kampanja koje koriste različite mamce, uključujući napade elektronske pošte u lancu odgovora, kada zlonamjerni akteri koriste ukradenu prepisku elektronske pošte i zatim na nju odgovore svojom porukom i priloženim zlonamjernim dokumentom.

Ove elektronske poruke obično uključuju zlonamjerne dokumente kao priloge ili veze za preuzimanje zlonamjernih datoteka koje instaliraju QakBot zlonamjerni softver na korisnikov uređaj. Ovi dokumenti se mijenjaju u zavisnosti od phishing kampanja i mogu biti Word ili Excel dokumenata sa zlonamjernim macro skriptama, OneNote sa ugrađenim datotekama ili ISO priloga sa izvršnim datotekama i Windows prečicama. Neki od njih su takođe dizajnirani da iskoriste ranjivosti nultog dana u Windows operativnom sistemu.

Jednom kada se instalira QakBot zlonamjerni softver će ubaciti DLL datoteku u legitiman Windows proces i tiho će se pokrenuti u pozadini dok isporučuje dodatne aktivne dijelove virusa. U prošlosti, QakBot je sarađivao sa više ransomware operatera, uključujući Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, Black Basta i BlackCat/ALPHV.

 

ZAKLJUČAK

Povratak  QakBot zlonamjernog softvera podsjeća na povratak Emotet zlonamjernog softvera koji se ponovo vratio krajem 2021. godine, nakon što su ga razbili organi za sprovođenje zakona i ostao je trajna prijetnja, iako na nižem nivou.

Iako ostaje da se vidi da li će se QakBot zlonamjernom softveru vratiti stari sjaj, otpornost takvih botnet mreža naglašava potrebu da organizacije izbjegnu da postanu žrtve neželjene elektronske pošte koja se koristi u Emotet i QakBot kampanjama.

 

ZAŠTITA

Svi korisnici moraju da budu na oprezu zbog phishing napada, jer zlonamjerni akteri uvijek razvijaju nove taktike za napad na žrtve koje ništa ne sumnjaju. Najbolji način da se korisnici zaštite je da budu oprezni i budni svaki put kada dobiju neočekivanu poruku i da vode računa o sljedećim preporukama:

  • Bez obzira na to koliko je legitimna poruka, najbolje je izbjegavati otvaranje veza u neočekivanim porukama.
  • Za potvrdu autentičnost poruka, koristiti drugi zvanični kanal van platforme za razmjenu elektronske pošte i kontaktirati pošiljaoca.
  • Biti oprezan sa porukama koje stvaraju osjećaj hitnosti ili prijete negativnim posljedicama ako se ne poduzmu hitne akcije.
  • Uvijek provjeriti Internet adresu pažljivo kako bi bili sigurni da odgovara legitimnoj Internet stranici.
  • Koristiti pouzdano i provjereno bezbjednosno rješenje i redovno ažurirati operativni sistem i aplikacije, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni akteri mogu da iskoriste.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.