В компании Check Point сообщают, что обнаружили новую и опасную версию трояна Qbot, которая похищает чужие письма из Outlook, а затем использует их для создания более убедительных фишинговых посланий.

Напомню, что впервые Qbot (он же QuakBot, QakBot и Pinkslipbot) был обнаружен в далеком в 2008 году, и за прошедшие годы он эволюционировал из обычного инфостилера в настоящий «швейцарский нож» для хакеров. В наши дни Qbot способен, например, доставлять в зараженную систему другие виды малвари, и даже может использоваться для удаленного подключения к целевой системе, чтобы осуществлять банковские транзакции, используя IP-адрес жертвы. Как правило, Qbot распространяется классическим способом: посредством фишинговых писем, которые содержат опасные вложения или заманивают пользователей на подконтрольные хакерам вредоносные сайты.

Эксперты Check Point пишут, что обновленная версия Qbot активизировалась в период с марта по август 2020 года. В одной из кампаний Qbot распространялся с помощью Emotet и в результате этой «коллаборации» в июле 2020 года атаки затронули около 5% организаций по всему миру.

Атака  Qbot традиционно начинается с отправки пользователю вредоносного письма с архивом ZIP во вложении. В архиве кроется вредоносный скрипт VBS, который загружает на машину жертвы дополнительные пейлоады и выходит на связь с управляющим сервером злоумышленников.

Если такая атака увенчивается успехом, Qbot, с помощью специального модуля, собирает цепочки пользовательских писем из Outlook и отправляет их на удаленный сервер. Украденные письма затем используются злоумышленниками во время подготовки новых спам-рассылок и помогают создавать более правдоподобные письма-приманки. Так, ворованные цепочки писем ­применяются хакерами в текущих кампаниях, темы которых в основном связаны с пандемией COVID-19, напоминаниями об уплате налогов, а также с фальшивыми предложениями о работе.

По результатам исследования Check Point, страной-лидером по числу атак Qbot в настоящее время является США с охватом 29% организаций. Далее следуют Индия, Израиль и Италия, с долей 7% каждая. Целевыми отраслями для хакеров стали государственный, военный и производственный сектора.

Оставить мнение