Разработчик вредоносной программы Qakbot или кто-то, имеющий доступ к ее исходному коду, похоже, экспериментирует с новыми сборками, поскольку свежие образцы были замечены в почтовых кампаниях с середины декабря.
Один из замеченных вариантов использует в Windows поддельный установщик для продукта Adobe, чтобы обманом заставить пользователя развернуть вредоносную программу.
Вредоносная программа под названием QBot уже много лет служит загрузчиком для различных вредоносных полезных нагрузок, включая ransowmare, которые доставляются жертвам в основном по электронной почте.
До уничтожения в августе прошлого годаQBot заразил более 700 000 систем и всего за 18 месяцев нанес финансовый ущерб, оцениваемый более чем в 58 миллионов долларов.
Операция, получившая кодовое название Duck Hunt, не сопровождалась арестами, и многие исследователи безопасности полагали, что разработчики Qakbot восстановят свою инфраструктуру и возобновят кампании по распространению.
В прошлом году, Cisco Talos сообщила.в кампании Qakbot, которая стартовала еще до уничтожения и продолжала действовать в начале октября. Исследователи считают, что это стало возможным благодаря тому, что правоохранительные органы вывели из строя только командные и управляющие серверы вредоносной программы, но не инфраструктуру доставки спама.
В декабре 2023 года компания Microsoft обнаружила фишинговую кампанию QBot, выдававшую себя за налоговую службучто подтверждает опасения о возвращении вредоносной программы.
Совместная целевая группа Sophos X-Ops, занимающаяся продвинутым реагированием на угрозы, недавно заметила новую активность Qbot: с середины декабря появилось до 10 новых сборок вредоносного ПО.
На новые события, связанные с Qbot, обратили внимание и исследователи из компании Zscaler, занимающейся облачной безопасностью, которые в конце января опубликовали технический отчёт о вредоносной программе и ее эволюции с 2008 года.
Новые варианты QBot
Аналитики Sophos X-Ops провели реверс-инжиниринг новых образцов Qbot, отметив небольшие изменения в номере сборки, что указывает на то, что разработчики тестируют и дорабатывают двоичные файлы.
Образцы декабря и января поставлялись в виде исполняемого файла Microsoft Software Installer (.MSI), в который вставлялся двоичный файл DLL с помощью архива .CAB (Windows Cabinet).
Этот метод отличается от предыдущих версий, которые внедряли код в безопасные процессы Windows (AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe), чтобы избежать обнаружения.
Новые варианты Qakbot используют усовершенствованные методы обфускации, включая расширенное шифрование для сокрытия строк и командно-адресной связи (C2).
В частности, вредоносная программа использует шифрование AES-256, а не метод XOR, как это было в старых образцах.
Вредоносная программа проверяет наличие программного обеспечения для защиты конечных точек и вновь вводит проверку виртуальных сред, пытаясь обойти обнаружение путем запуска бесконечного цикла, если обнаруживает себя на виртуальной машине.
Проверки антивирусного ПО, выполняемые QBot (Sophos)
Кроме того, Qakbot выдает вводящее в заблуждение всплывающее окно, предполагающее, что в системе запущена программа Adobe Setup, чтобы обмануть пользователей с помощью фальшивых предложений по установке, которые запускают вредоносное ПО независимо от того, что было нажато.
Исследователи Sophos говорят, что, внимательно следя за развитием QBot, они смогут обновить свои правила обнаружения и поделиться важной информацией с другими производителями систем безопасности.
Хотя после того, как в прошлом году была ликвидирована C2-инфраструктура Qbot, было обнаружено небольшое количество образцов, исследователи считают, "что любая деятельность угрожающих субъектов по его возвращению заслуживает наблюдения и тщательного изучения".
