QBot zlonamjerni softver zloupotrebljava Adobe instalaciju

AUTOR ·

Zlonamjerni akter koji stoji iza QBot zlonamjernog softvera (poznatog još kao i Qakbot) ili neko ko ima potpuni pristup njegovom izvornom kôdu testira nove verzije ovog zlonamjernog softver pokazuju uzorci otkriveni u nedavnim kampanjama elektronske pošte od sredine decembra 2023. godine.

Jedna od uočenih varijanti zlonamjernog softvera koristi prevarantsku taktiku i zloupotrebljava Adobe instalaciju, predstavljajući korisnicima lažni instaler za Adobe proizvod kako bi instalirali zlonamjerni softver.

QBot

QBot zlonamjerni softver zloupotrebljava Adobe instalaciju; Source: Bing Image Creator

POGLED U PROŠLOST

QBot zlonamjerni softver je dugo funkcionisao kako način za isporuku različitih zlonamjernih sadržaja, recimo ransomware zlonamjernog softvera, čija se distribucija obično vršila preko elektronske pošte. Do uspješnog poremećaja i zapljene servera u avgustu 2023. godine, pretpostavlja se da je ovaj zlonamjerni softver zarazio preko 700.000 sistema, uzrokujući finansijsku štetu od 49 miliona američkih dolara za samo 18 mjeseci.

Operacija pod nazivom “Lov na patke” (eng. Duck Hunt) koja je poremetila funkcionisanje ovog zlonamjernog softvera, uključivala je međunarodnu saradnju sa zemljama kao što su Francuska, Njemačka, Holandija, Ujedinjeno Kraljevstvo, Rumunija i Letonija. Kao što se pretpostavilo, poremećaj QBot mreže nije jednak uništenju, pa se oporavak mogao i očekivati.

U decembru 2023. godine je identifikovana phishing kampanja pod maskom poreske uprave, koja je samo potvrdila da poremećaj nije jednak uništenju.

 

NOVA QBOT VARIJANTA

Sigurnosni istraživači su nakon sprovedene analize uočenih uzoraka zlonamjernog softvera QBot zaključili da je u pitanju testiranje i usavršavanje od strane programera.

Uzorci iz decembra 2023. godine i januara 2024. godine su distribuirani su kao izvršni programi Microsoft Software Installer (.MSI), koji je zatim primijenjen kroz binarnu DLL datoteku uz pomoć .CAB (Windows Cabinet) arhive. Ovaj metod odstupa od prethodnih verzija, koje su se oslanjale na ubacivanje kôda u legitimne Windows procese (kao što su AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe) da bi se izbjeglo otkrivanje.

Najnovije varijante koriste napredne tehnike zamagljivanja, uključujući poboljšano šifrovanje za prikrivanje nizova i komunikaciju komandi i kontrole (C2). Konkretno, zlonamjerni softver sada koristi AES-256 enkripciju uz XOR metod koji je primijećen u starijim verzijama. Zlonamjerni softver sprovodi provjere na prisustvo sigurnosnog softvera za zaštitu krajnjih tačaka i ponovo je uveo provjere za virtualna okruženja. Ako otkrije virtualnu mašinu, pokreće beskonačnu petlju u pokušaju da izbjegne otkrivanje.

QBot koristi obmanjujući iskačući prozor koji lažno ukazuje da je Adobe podešavanje u toku na sistemu. Ova obmanjujuća taktika ima za cilj da obmane korisnike predstavljanjem lažnih uputstava za instalaciju, što na kraju pokreće zlonamjerni softver bez obzira na interakciju korisnika sa upitima.

 

ZAKLJUČAK

Iako je QBot zlonamjerni softver doživio poremećaj funkcionisanja kroz međunarodnu saradnju nekoliko zemalja, jasno je pokazao da poremećaj nije jednak uništenju i opravdao je strahove o svom povratku. Zbog toga se sigurnosni istraživači se slažu da je pažljivo praćenje evolucije QBot zlonamjernog softvera jedini način koji omogućava pravovremeno ažuriranje protokola za otkrivanje i širenje vitalnih informacija za zaštitu korisnika i poslovnih organizacija.

 

ZAŠTITA

 Kako bi se zaštitili, korisnici mogu slijediti ove preporuke:

  • Redovno održavanje programa obuke korisnika kako bi se edukovali o načinima prepoznavanja phishing napada, zlonamjernih aktivnosti i drugih povezanih aktivnosti, kako bi se kod korisnika stvorila kultura svjesne sajber bezbjednosti koja će omogućiti prepoznavanje i prijavu sumnjivih aktivnosti,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Redovno praćenje mrežnog saobraćaja radi neuobičajenih aktivnosti i porasta zahteva, kao i redovni pregled i ažuriranje procesa i alata za analizu mrežnog saobraćaja,
  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
  • Koristiti segmentaciju mreže kako bi se odvojili vitalni sistemi od manje sigurnih oblasti mreže uz ograničenje neželjene komunikacije između segmenata,
  • Redovno pravljenje rezervnih kopija uz pravilnu strategiju čuvanja je posljednja odbrana od gubitka podataka i omogućava njihovo vraćanje,
  • Dobar plan odgovara na sajber prijetnju je ključan za svaku organizaciju kako bi mogla da brzo reaguje u slučaj sajber incidenta.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.