Банковский троян Qbot теперь может собирать почтовую переписку в Outlook
27 августа 2020 года
Арсенал печально известого банковского трояна Qbot пополнился новым функционалом для более эффективных атак на организации в правительственной, военной и промышленной сферах в США и странах Европы.
В частности, в рамках анализа недавних атак с использованием вредоноса Qbot специалисты компании Check Point обнаружили новую версию трояна, способную скрыто собирать электронную переписку жертвы в почтовом клиенте Outlook и использовать ее в дальнейших спам-кампаниях.
Впервые вредоносная программа Qbot (она же QuakBot, QakBot или Pinkslipbot) засветился на радарах ИБ-экспертов в 2008 году. Со временем вредонос эволюционировал из простого инфостилера в многофункциональный троян, способный распространять другие виды вредоносного ПО и даже удаленно подключаться к целевой Windows-системе для осуществления банковских транзакций с IP-адреса жертвы. Как правило, заражение Qbot осуществляется с сайтов, куда жертв заманивают с помощью техник фишинга.
Что касается новой вредоносной кампании, первый этап включает распространение целевых фишинговых писем (на тему COVID-19, уплаты налогов или предложений о найме на работу ), содержащих архив с вредоносным VBS-скриптом, который загружает дополнительные вредоносные модули, отвечающие за соединение с управляющим сервером и выполнение полученных команд.
Для придания большей достоверности фишинговым письмам злоумышленники включают в них архивную почтовую переписку между двумя сторонами. Для этого они загодя собирают переписку с помощью модуля для сбора электронных писем, который извлекает цепочки легитимных электронных писем из установленного на устройстве жертвы приложения Outlook и загружает их на удаленный сервер.
Помимо вышеуказанного функционала, Qbot способен управлять компьютером жертвы через удаленное VNC-подключение (за это отвечает hVNC плагин), а также собирать зараженные устройства в ботнет с помощью прокси-модуля.
По словам экспертов, с начала года разработчики выпустили 15 версий трояна, самая свежая из них датируется 7 августа.
Источники
править| Эта статья содержит материалы из статьи «Банковский троян Qbot теперь может собирать почтовую переписку в Outlook», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
