Qbot krade e-maily a zneužívá je k dalším útokům

Trojan Qbot

Výzkumný tým odhalil novou, vylepšenou verzi nebezpečného trojského koně Qbot, který krade informace a masivně se šíří po celém světě a napadá organizace i jednotlivce. Qbot byl poprvé detekován v roce 2008 a mimo jiné shromažďuje data o online aktivitách a finanční informace, včetně podrobností o online bankovnictví.

Check Point v posledních měsících objevil několik kampaní, které využívají novou verzi trojanu Qbot. V jedné z kampaní byl Qbot šířen bankovním trojanem Emotet, který dokáže krást data odposloucháváním síťového provozu, což ukazuje na novou techniku distribuce malwaru Qbot. Qbot je nyní multifunkční, a proto ještě nebezpečnější. Umí například:

  • Krást informace. Krade informace z infikovaných počítačů, včetně hesel, e-mailů, údajů o kreditních kartách atd.
  • Instalovat ransomware. Instaluje na napadených počítačích další škodlivé kódy, včetně ransomwaru.
  • Provádět neoprávněné bankovní transakce. Útočníci se mohou připojit k počítači oběti (i když je postižený přihlášen) a provádět bankovní transakce z IP adresy oběti.

Infekční řetězec začíná zasláním speciálně vytvořených e-mailů vytipovaným organizacím nebo jednotlivcům. Každý e-mail obsahuje odkaz na soubor ZIP se škodlivým VBS (Visual Basic Script) souborem, který obsahuje kód spustitelný v systému Windows.

Jakmile je počítač infikován, Qbot aktivuje speciální „modul pro sběr e-mailů“, který extrahuje všechna e-mailová vlákna z Outlooku oběti a nahraje je na vzdálený server. Ukradené e-maily jsou pak využívány pro budoucí malspamové kampaně, což umožňuje jednoduše nalákat uživatele, aby klikli na infikované přílohy, protože se zdá, že spam navazuje na stávající legitimní e-mailovou konverzaci. Check Point zaznamenal příklady, kdy ukradené e-maily byly použity k cíleným útokům a zneužívaly témata jako COVID-19, připomenutí plateb daní nebo nábor nových zaměstnanců.

Napsat komentář