ИБ-эксперты компании Check Point снова выявили активность вредоносного ПО для банковских операций и похищения информации Qbot (QakBot). Этот вредонос работает уже более 10 лет, активно заражая новых жертв.
После проникновения в систему Qbot старается украсть сохраненные пароли, файлы cookie, данные банковских карт, электронную почту и учетные данные онлайн-банкинга своих жертв. Также известно, что этот троян загружает и устанавливает на зараженные компьютеры другое вредоносное ПО. С июля 2020 года Qbot является предпочтительным вредоносным ПО для известного ботнета Emotet.
В соответствии с новым отчетом Check Point, QBot продолжает использовать тактику, ранее применявшуюся банковским трояном Gozi ISFB, трояном для похищения данных URSNIF и трояном Emotet. Фишинг с цепочкой ответов представляет собой кибератаку, когда хакеры используют украденную цепочку писем, а затем отвечают на нее своим собственным сообщением и прикрепленным вредоносным документом.
После заражения жертв одним из вредоносных действий, выполняемых Qbot, осуществляется похищение электронных писем из клиента Outlook пользователя. Украденные электронные письма после отправляются на серверы киберпреступников для применения в дальнейших спам-кампаниях, нацеленных на иных возможных жертв.
Этот тип кибератаки делает фишинговую кампанию более правдоподобной, особенно когда она используется против тех, кто находится в исходной цепочке. Эксперты из Check Point обнаружили, что эти кибератаки с использованием цепочки содержат архивные вложения с вредоносными сценариями VBS. При выполнении эти сценарии VBS загружают вредоносный софт Qbot в систему и заражают пользователя.
ИБ-специалисты Check Point также обнаружили перехваченные цепочки писем, которые используются в текущих фишинговых кампаниях по темам, связанным с напоминаниями об уплате налогов, пандемией Covid-19 и предложениями о работе.
Вредоносная программа Qbot также известна тем, что заражает другие устройства в той же сети с помощью эксплойтов сетевых ресурсов, а также крайне агрессивными атаками, нацеленными на учетные записи администраторов Active Directory.
Атаки Qbot за историю существования этого вредоносного ПО были достаточно редкими: эксперты по информационной безопасности обнаружили одну в октябре 2014 г., одну в апреле 2016 г., а также еще одну в середине мая 2017 г.
