Ботнет Qbot теперь рассылает полезную нагрузку с помощью фишинговых писем с защищенными паролем вложениями ZIP-архивов, содержащих вредоносные пакеты MSI Windows Installer.
Qbot Botnet
Операторы Qbot впервые используют эту тактику, отказавшись от стандартного способа доставки вредоносного ПО через фишинговые письма, сбрасывающие на устройства жертв документы Microsoft Office с вредоносными макросами.
Исследователи безопасности подозревают, что этот шаг может быть прямой реакцией на то, что компания Microsoft объявила о планах по борьбе с доставкой вредоносного ПО через макросы VBA Office в феврале после отключения макросов Excel 4.0 (XLM) по умолчанию в январе.
Microsoft начала распространять функцию автоблокировки макросов VBA среди пользователей Office для Windows в начале апреля 2022 года, начиная с версии 2203 в текущем канале (Preview) и позже в других каналах выпуска и более старых версиях.
"Несмотря на различные способы рассылки Qakbot, которые используют злоумышленники, эти кампании объединяет использование вредоносных макросов в документах Office, в частности макросов Excel 4.0", - заявили в Microsoft в декабре.
"Следует отметить, что, хотя угрозы используют макросы Excel 4.0 в попытке избежать обнаружения, эта функция теперь отключена по умолчанию, и поэтому пользователям приходится включать ее вручную, чтобы такие угрозы выполнялись должным образом".
Это значительное улучшение безопасности для защиты пользователей Office, поскольку использование вредоносных макросов VBA, встроенных в документы Office, является распространенным методом для распространения большого количества штаммов вредоносных программ в фишинговых атаках, включая Qbot, Emotet, TrickBot и Dridex.
Что такое Qbot?
Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это модульный банковский троян для Windows с функциями червя, используемый как минимум с 2007 года для кражи банковских реквизитов, личной информации и финансовых данных, а также для установки бэкдоров на взломанных компьютерах и развертывания маяков Cobalt Strike.
Эта вредоносная программа также известна тем, что заражает другие устройства во взломанной сети, используя уязвимости сетевого ресурса и агрессивные атаки методом перебора, направленные на учетные записи администраторов Active Directory.
Хотя вредоносная программа Qbot активна уже более десяти лет, она в основном используется в целенаправленных атаках на корпоративные предприятия, поскольку обеспечивает более высокую рентабельность инвестиций.
Множество банд вымогателей, включая REvil, Egregor, ProLock, PwndLocker и MegaCortex, также использовали Qbot для проникновения в корпоративные сети.
Поскольку заражение Qbot может привести к опасным инфекциям и разрушительным атакам, ИТ-администраторам и специалистам по безопасности необходимо ознакомиться с этой вредоносной программой, тактикой ее распространения по сети и тактикой, используемой операторами ботнетов для доставки ее к новым целям.
Indicators of Compromise
MD5
- 1cdc22919e0a2102d331592c20ebca80
- 6b8e75c10de8b63942062ac2817acac5
- fad2537fd72b098f1d709af96833bf3b
SHA1
- d24fab6817992fa6e2560aaf993b069a2caba34a
- 8a56254475100e177d53ad822e4748f8099484ca
- 59b065291997665c4af9d36de2636bddbe4bfbac
SHA256
- 12361b94bae2da00f0215d8a22674066dd4198d3c5795c3dfdad605b3a15ffb5
- 55f6badc15ea22a6d9780b0ab9934b03cbf271542ac94753aa7ff612592576d2
- e0a0500e1af48242fb162986a3c5904dcd8781694f6dbacfa8f68b71c6b0fa4e