{"id":5831,"date":"2023-12-18T22:19:12","date_gmt":"2023-12-18T21:19:12","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5831"},"modified":"2023-12-18T22:19:12","modified_gmt":"2023-12-18T21:19:12","slug":"povratak-qakbot-zlonamjernog-softvera","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/","title":{"rendered":"Povratak QakBot zlonamjernog softvera"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Povratak <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/19\/qbot-bankarski-trojanac-u-novoj-kampanji\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>QakBot<\/em> zlonamjernog softvera<\/a> je stvarnost, po\u0161ti se ponovo vr\u0161i njegova distribucija u <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>kampanjama nakon \u0161to je <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>botnet<\/em> <\/a>bio prekinut strane organa za sprovo\u0111enje zakona tokom ljeta.<\/span><\/p>\n<div id=\"attachment_5834\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5834\" class=\"size-full wp-image-5834\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera.jpg\" alt=\"QakBot\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/QakBot-zlonamjernog-softvera-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5834\" class=\"wp-caption-text\"><em>Povratak QakBot zlonamjernog softvera; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#QAKBOT_PAD\" >QAKBOT PAD<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#QAKBOT_POVRATAK\" >QAKBOT POVRATAK<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#Funkcionisanje\" >Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#Modifikacije\" >Modifikacije<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#STA_JE_QAKBOT\" >\u0160TA JE QAKBOT?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/18\/povratak-qakbot-zlonamjernog-softvera\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"QAKBOT_PAD\"><\/span><span style=\"font-size: 14pt;\"><strong><em>QAKBOT<\/em> PAD<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Qakbot<\/em>, poznat jo\u0161 i kao <em>Qbot<\/em>, po\u010deo je kao bankarski <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a>, ali je do\u017eivio evoluciju u svestrano sredstvo za distribuciju zlonamjernog softvera i <em>ransomware<\/em>-a. Za svoj uspjeh u pro\u0161losti mo\u017ee da zahvali tome tome \u0161to njegovi operateri povremeno mijenjaju svoje alate i taktike, zaustavljaju\u0107i napade ne\u017eeljene elektronske po\u0161te na du\u017ee periode pre nego \u0161to se vrate sa novim strategijama za napad na korisnike.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U avgustu ove godine, Ministarstvo pravde SAD je uspje\u0161no poremetilo <em>Qakbot<\/em> <em>botnet<\/em> tako \u0161to je zaplijenilo 52 servera i uklonilo u\u010ditava\u010d zlonamjernog softvera sa preko 700.000 ra\u010dunara \u017ertava \u0161irom sveta. Operacija pod nazivom \u201c<em>Lov na patke<\/em>\u201d (eng. <em>Duck Hunt<\/em>) uklju\u010divala je me\u0111unarodnu saradnju sa zemljama kao \u0161to su Francuska, Njema\u010dka, Holandija, Ujedinjeno Kraljevstvo, Rumunija i Letonija. Kao \u0161to se pretpostavilo, poreme\u0107aj <em>Qakbot<\/em> mre\u017ee nije jednak uni\u0161tenju, pa se oporavak mogao i o\u010dekivati.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"QAKBOT_POVRATAK\"><\/span><span style=\"font-size: 14pt;\"><strong><em>QAKBOT<\/em> POVRATAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kompanija <em>Microsoft<\/em> <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1735856754427047985\" target=\"_blank\" rel=\"noopener\">upozorava korisnike<\/a> da se <em>QakBot<\/em> ponovo distribuira u <em>phishing<\/em> kampanji koja opona\u0161a elektronsku po\u0161tu zaposlenog u poreskoj upravi. Napad je prvi put primije\u0107en 11. decembra u manjoj kampanji koja je bila usmjerena na ugostiteljsku industriju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U prilogu elektronske po\u0161te je <em>PDF<\/em> datoteka koja se pretvara da je lista gostiju. Kako bi prevarili korisnika da je preuzme, zlonamjerni akteri su se pobrinuli za poruku \u201c<em>Pregled dokumenta nije dostupan<\/em>\u201d (eng. <em>Document preview is not available<\/em>), a zatim se od korisnika tra\u017ei da preuzme <em>PDF<\/em> da bi ga pravilno pregledao.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada korisnik klikne na dugme za preuzimanje, dolazi do preuzimanja <em>MSI<\/em> datoteke, koja kada se instalira, pokre\u0107e <em>Qakbot<\/em> zlonamjerni softver u <em>DLL<\/em> memoriju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Modifikacije\"><\/span><span style=\"font-size: 14pt;\"><strong>Modifikacije<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U <em>DLL<\/em> datoteci nove verzije <em>QakBot<\/em> zlonamjernog softvera postoje manje izmjene, uklju\u010duju\u0107i kori\u0161tenje <em>AES<\/em> algoritma za de\u0161ifrovanje stringova umjesto <em>XOR<\/em> u prethodnoj verziji. Sigurnosni istra\u017eiva\u010di <a href=\"https:\/\/twitter.com\/Myrtus0x0\" target=\"_blank\" rel=\"noopener\">smatraju<\/a> da se ova verzija jo\u0161 razvija, jer sadr\u017ei neke neobi\u010dne gre\u0161ke.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"STA_JE_QAKBOT\"><\/span><span style=\"font-size: 14pt;\"><strong>\u0160TA JE <em>QAKBOT<\/em>?<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>QakBot<\/em> ili <em>Qbot<\/em> je po\u010deo je kao bankarski <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> 2008. godine, a <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> su ga koristili za kra\u0111u bankarskih akreditiva, kola\u010dic\u0301a internet lokacija i kreditnih kartica za finansijsku prevaru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Vremenom je zlonamjerni softver evoluirao u uslugu isporuke zlonamjernog softvera, udru\u017eiv\u0161i se sa drugim zlonamjernim akterima kako bi obezbijedio po\u010detni pristup mre\u017eama za vr\u0161enje <em>ransomware<\/em> napada, \u0161pijuna\u017eu ili kra\u0111u podataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver se distribuira putem <em>phishing<\/em> kampanja koje koriste razli\u010dite mamce, uklju\u010duju\u0107i napade elektronske po\u0161te u lancu odgovora, kada zlonamjerni akteri koriste ukradenu prepisku elektronske po\u0161te i zatim na nju odgovore svojom porukom i prilo\u017eenim zlonamjernim dokumentom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ove elektronske poruke obi\u010dno uklju\u010duju zlonamjerne dokumente kao priloge ili veze za preuzimanje zlonamjernih datoteka koje instaliraju <em>QakBot<\/em> zlonamjerni softver na korisnikov ure\u0111aj. Ovi dokumenti se mijenjaju u zavisnosti od <em>phishing<\/em> kampanja i mogu biti <em>Word<\/em> ili <em>Excel<\/em> dokumenata sa zlonamjernim <em>macro<\/em> skriptama, <em>OneNote<\/em> sa ugra\u0111enim datotekama ili <em>ISO<\/em> priloga sa izvr\u0161nim datotekama i <em>Windows<\/em> pre\u010dicama. Neki od njih su tako\u0111e dizajnirani da iskoriste ranjivosti nultog dana u <em>Windows<\/em> operativnom sistemu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom kada se instalira <em>QakBot<\/em> zlonamjerni softver \u0107e ubaciti <em>DLL<\/em> datoteku u legitiman <em>Windows<\/em> proces i tiho \u0107e se pokrenuti u pozadini dok isporu\u010duje dodatne aktivne dijelove virusa. U pro\u0161losti, <em>QakBot<\/em> je sara\u0111ivao sa vi\u0161e <em>ransomware<\/em> operatera, uklju\u010duju\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/10\/conti-ransomware-unistava-rezervne-kopije\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Conti<\/em><\/a>, <em>ProLock<\/em>, <em>Egregor<\/em>, <em>REvil<\/em>, <em>RansomExx<\/em>, <em>MegaCortex<\/em>, <em>Black<\/em> <em>Basta<\/em> i <em>BlackCat\/ALPHV<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Povratak\u00a0 <em>QakBot<\/em> zlonamjernog softvera podsje\u0107a na povratak <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/14\/emotet-prvi-talas-u-2023-godini\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Emotet<\/em> <\/a>zlonamjernog softvera koji se ponovo vratio krajem 2021. godine, nakon \u0161to su ga razbili organi za sprovo\u0111enje zakona i ostao je trajna prijetnja, iako na ni\u017eem nivou.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iako ostaje da se vidi da li \u0107e se <em>QakBot<\/em> zlonamjernom softveru vratiti stari sjaj, otpornost takvih <em>botnet<\/em> mre\u017ea nagla\u0161ava potrebu da organizacije izbjegnu da postanu \u017ertve ne\u017eeljene elektronske po\u0161te koja se koristi u <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/19\/emotet-sada-koristi-microsoft-onenote-priloge\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Emotet<\/em> <\/a>i <em>QakBot<\/em> kampanjama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Svi korisnici moraju da budu na oprezu zbog <em>phishing<\/em> napada, jer zlonamjerni akteri uvijek razvijaju nove taktike za napad na \u017ertve koje ni\u0161ta ne sumnjaju. Najbolji na\u010din da se korisnici za\u0161tite je da budu oprezni i budni svaki put kada dobiju neo\u010dekivanu poruku i da vode ra\u010duna o sljede\u0107im preporukama:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Bez obzira na to koliko je legitimna poruka, najbolje je izbjegavati otvaranje veza u neo\u010dekivanim porukama.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Za potvrdu autenti\u010dnost poruka, koristiti drugi zvani\u010dni kanal van platforme za razmjenu elektronske po\u0161te i kontaktirati po\u0161iljaoca.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan sa porukama koje stvaraju osje\u0107aj hitnosti ili prijete negativnim posljedicama ako se ne poduzmu hitne akcije.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvijek provjeriti Internet adresu pa\u017eljivo kako bi bili sigurni da odgovara legitimnoj Internet stranici.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti pouzdano i provjereno bezbjednosno rje\u0161enje i redovno a\u017eurirati operativni sistem i aplikacije, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni akteri mogu da iskoriste.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Povratak QakBot zlonamjernog softvera je stvarnost, po\u0161ti se ponovo vr\u0161i njegova distribucija u phishing kampanjama nakon \u0161to je botnet bio prekinut strane organa za sprovo\u0111enje zakona tokom ljeta. QAKBOT PAD Zlonamjerni softver Qakbot, poznat&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5834,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[113,93,61,636,350,133],"class_list":["post-5831","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-botnet","tag-malware","tag-phishing","tag-qakbot","tag-qbot","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5831"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5831\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5834"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}