В начале апреля Kaspersky Lab обнаружили значительное увеличение числа атак, использующих банковские троянцы семейства QBot (они же QakBot, QuackBot и Pinkslipbot).
Вредоносная программа доставлялась по электронной почте в виде писем, написанных на разных языках - варианты приходили на английском, немецком, итальянском и французском. Сообщения были основаны на реальных деловых письмах, к которым злоумышленники получали доступ, что давало им возможность присоединиться к потоку переписки со своими собственными сообщениями. Как правило, такие письма призывали адресата под благовидным предлогом открыть вложенный PDF-файл.
Qbot Trojan
Банковский троянец QBot был впервые обнаружен в 2007 году. С тех пор он прошел через многочисленные модификации и усовершенствования и стал одним из наиболее активно распространяющихся вредоносных программ в 2020 году. В 2021 году мы опубликовали подробный технический анализ QBot. В настоящее время банкер продолжает получать новые функции и обновления модулей для повышения эффективности и прибыли.
Методы распространения QBot также эволюционировали. Вначале он распространялся через зараженные веб-сайты и пиратское программное обеспечение. Теперь банкер попадает к потенциальным жертвам через вредоносные программы, уже находящиеся на их компьютерах, социальную инженерию и спам-рассылки.
Схема доставки вредоносного ПО QBot начинается с отправки электронного письма с PDF-файлом во вложении. Содержание документа имитирует предупреждение Microsoft Office 365 или Microsoft Azure, в котором пользователю предлагается нажать кнопку Open для просмотра вложенных файлов. Если пользователь подчиняется, с удаленного сервера (скомпрометированного сайта) загружается архив, защищенный паролем, указанным в исходном PDF-файле.
В загруженном архиве находится файл .wsf (Windows Script File), содержащий обфусцированный сценарий, написанный на языке JScript.
После деобфускации WSF-файла становится известна его истинная полезная нагрузка: сценарий PowerShell, закодированный в строку Base64.
Таким образом, как только пользователь откроет WSF-файл из архива, на компьютере будет незаметно запущен PowerShell-скрипт, который с помощью wget загрузит DLL-файл с удаленного сервера. Имя библиотеки представляет собой автоматически сгенерированную алфавитную последовательность, варьирующуюся от одной жертвы к другой.
Сценарий PowerShell будет последовательно пытаться загрузить файл с каждого из URL, перечисленных в коде. Чтобы определить, была ли попытка загрузки успешной, сценарий проверит размер файла, используя для получения информации команду Get-Item. Если размер файла составляет 100 000 байт или более, скрипт запустит DLL с помощью rundll32. В противном случае он подождет четыре секунды, после чего попытается загрузить библиотеку с помощью следующей по списку ссылки. Загруженная библиотека является троянцем, известным как QBot (обнаружен как Trojan-Banker.Win32.Qbot.aiex).
Kaspersky Lab проанализировали образцы Qbot из текущей почтовой кампании. В конфигурационном блоке бота указаны название компании "obama249" и метка времени "1680763529" (соответствующая 6 апреля 2023 года 6:45:29), а также более сотни IP-адресов, которые бот будет использовать для подключения к командным серверам. Большинство из этих адресов принадлежат тем пользователям, чьи зараженные системы обеспечивают точку входа в цепочку, которая используется для перенаправления трафика ботнета на реальные командные серверы.
Функциональность Qbot практически не изменилась за последние пару лет. Как и раньше, бот способен извлекать пароли и cookies из браузеров, красть письма из почтового ящика, перехватывать трафик и предоставлять операторам удаленный доступ к зараженной системе. В зависимости от ценности жертвы, локально могут быть загружены дополнительные вредоносные программы, такие как CobaltStrike (для распространения инфекции через корпоративную сеть) или различные ransomware. Или же компьютер жертвы может быть превращен в прокси-сервер для облегчения перенаправления трафика, в том числе спам-трафика.
Indicators of Compromise
MD5
- 1fbfe5c1cd26c536fc87c46b46db754d
- 253e43124f66f4faf23f9671bbba3d98
- 28c25753f1ecd5c47d316394c7fcede2
- 299fc65a2eecf5b9ef06f167575cc9e2
- 39fd8e69eb4ca6da43b3be015c2d8b7d
- a6120562eb673552a61f7eeb577c05f8
- fd57b3c5d73a4ecd03df67ba2e48f661
URLs
- abhishekmeena.in/ducs/ducs.php
- agtendelperu.com/FPu0Fa/EpN5Xvh
- capitalperurrhh.com/vQ1iQg/u6oL8xlJ
- centerkick.com/IC5EQ8/2v6u6vKQwk8
- chimpcity.com/h7e/p5FuepRZjx
- cica.com.co/stai/stai.php
- graficalevi.com.br/0p6P/R94icuyQ
- kmphi.com/FWovmB/8oZ0BOV5HqEX
- propertynear.co.uk/QyYWyp/XRgRWEdFv
- rosewoodlaminates.com/hea/yWY9SJ4VOH
- theshirtsummit.com/MwBGSm/lGP5mGh
