Зараз ботнет Qbot розповсюджує шкідливе програмне забезпечення через фішингові електронні листи із захищеними паролем вкладеннями ZIP-архіву, що містять шкідливі пакети інсталятора Windows MSI. Це перший раз, коли оператори Qbot використовують цю тактику, відмовляючись від свого стандартного способу доставляння шкідливого програмного забезпечення через фішингові електронні листи, скидаючи документи Microsoft Office зі шкідливими макросами на пристрої цілей.
Дослідники безпеки підозрюють, що цей крок може бути прямою реакцією на те, що Microsoft оголосила про плани припинити доставляння шкідливих програм за допомогою макросів VBA Office у лютому після відключення макросів Excel 4.0 (XLM) за про мовчанням у січні.
Microsoft розпочала розгортання функції автоматичного блокування макросів VBA для користувачів Office для Windows на початку квітня 2022 року, починаючи з версії 2203 у поточному каналі (попередня версія) і пізніше для інших каналів випуску та ранніх версій.
«Не зважаючи на різні методи електронної пошти, які зловмисники використовують для доставляння Qakbot, ці кампанії мають спільну рису — використання шкідливих макросів у документах Office, зокрема макросів Excel 4.0», — заявила Microsoft у грудні.
«Слід зазначити, що хоча загрози використовують макроси Excel 4.0 як спробу уникнути виявлення, ця функція тепер відключена за замовчуванням і, таким чином, вимагає, щоб користувачі включали її вручну, щоб такі загрози виконувались належним чином».
Це суттєве покращення безпеки для захисту клієнтів Office, оскільки використання шкідливих макросів VBA, вбудованих у документи Office, є поширеним методом фішингових атак з використанням широкого спектра штамів шкідливих програм, включаючи Qbot, Emotet, TrickBot та Dridex.
Що таке Qbot?
Qbot (також відомий як Qakbot, Quakbot і Pinkslipbot) — це модульний банківський троян для Windows з функціями хробака, що використовується принаймні з 2007 року для крадіжки банківських облікових даних, особистої інформації та фінансових даних, а також для встановлення бекдорів на зламані комп’ютери та розгортання Cobalt.
Ця шкідлива програма також відома тим, що заражає інші пристрої в скомпрометованій мережі, використовуючи експлойти мережевих ресурсів та агресивні атаки методом перебору, націлені на облікові записи адміністраторів Active Directory.
Не зважаючи на те, що шкідлива програма Qbot активна вже понад десять років, вона в основному використовувалася для вузькоспрямованих атак проти юридичних осіб, оскільки вони забезпечують більш високу віддачу від інвестицій. Декілька груп здирників, зокрема REvil, Egregor, ProLock, PwndLocker і MegaCortex, також використовували Qbot для зламування корпоративних мереж.
Оскільки зараження Qbot може призвести до небезпечних заражень та руйнівних атак, ІТ-адміністраторам та спеціалістам з безпеки необхідно ознайомитися з цією шкідливою програмою, тактикою, яку вона використовує для розповсюдження мережею, а також з тактикою, використовуваною операторами ботнета для доставляння її новим цілям. У звіті Microsoft від грудня 2021 відбито універсальність атак Qbot, що ускладнює точну оцінку масштабів його заражень. Джерело
Шкідлива програма Qbot переходить на новий вектор зараження Windows Installer: 1 комментарий
Обсуждение закрыто.