Qbot - это банковский троян - вредоносная программа, предназначенная для сбора банковской информации у жертв. Qbot нацелен на организации преимущественно в США. Он оснащен различными сложными функциями уклонения и кражи информации, червеподобной функциональностью и сильным механизмом персистенции.
Что такое Qbot?
Qbot, также известный как QakBot, Pinkslipbot и Quakbot, является банковским троянцем - вредоносным ПО, предназначенным для кражи банковских учетных данных, информации о сеансах онлайн-банкинга, личных данных жертвы или любых других банковских данных.
Хотя ранние версии Qbot были замечены еще в 2009 году, создатели поддерживают этот троянец. Сегодня он по-прежнему активен и обладает способностью распространяться по сети подобно червям, поддерживает передовые методы веб-инъекций и имеет механизм сохранения, который, по мнению некоторых исследователей, является одним из лучших в своем классе. Кроме того, троянец обладает функциями анти-VM, анти-отладки и анти-песочницы, что значительно затрудняет исследование и анализ.
Кроме того, Qbot является полиморфным, что означает, что он может изменять себя даже после установки на конечную точку. Троянец постоянно модифицирует файлы, а дроппер новой версии Qbot непрерывно циклически перемещается по командно-контрольным серверам.
Сочетание этих функций делает Qbot очень опасным вредоносным ПО. Qbot использовался в нескольких успешных атаках на организации и правительственные структуры и заразил десятки тысяч машин.
Общее описание Qbot
Qbot рассылается в целевых атаках против предприятий. С помощью этого троянца злоумышленники охотятся за банковскими счетами организаций или частных пользователей, которые получают доступ к своим личным кабинетам онлайн-банкинга из корпоративных сетей, подключаясь к банковским сессиям жертвы.
Троянец использует функцию "человек в браузере" для выполнения веб-инъекций, что позволяет ему изменять то, что жертва видит на банковском сайте при просмотре с зараженной машины. Интересно, что в то время как большинство образцов вредоносного ПО, использующих эту технику, содержат код веб-инъекции в своем конфигурационном файле, Qbot может получать код из контролируемого домена в процессе выполнения вредоносной активности.
Еще одной чертой, отличающей Qbot от других троянцев, является его червеподобная функциональность. Qbot может копировать себя, используя общие диски, и распространяться по сети, распространяясь самостоятельно или после получения команды с командно-контрольного сервера. Вместе с высокоразвитым механизмом сохранения, использующим системные ключи реестра и запланированные задачи, эти особенности делают удаление Qbot из зараженной сети очень сложным. Троянец разработан таким образом, чтобы сохранять свою жизнеспособность, несмотря на перезагрузку системы, и автоматически запускаться при повторном включении системы.
Эта печально известная функциональность стойкости якобы стала причиной компрометации конфиденциальной информации в двух правительственных организациях в Массачусетсе в 2011 году, а червеобразное поведение помогло Qbot проникнуть в тысячи машин и создать ботнет с более чем 1 500 устройствами в результате этой атаки.
Большинство целей, которые преследует Qbot, - это организации, расположенные в США. Лишь около двадцати процентов новых атакованных предприятий расположены за пределами США. Хотя, помимо правительственных учреждений, большинство атак было направлено на банковскую, технологическую и медицинскую отрасли, нет веских доказательств того, что злоумышленники нацелены на конкретные сферы. Это означает, что предприятия, работающие в любой отрасли, могут пострадать от Qbot.
Важно также отметить, что вредоносной программой управляет продвинутая кибербанда. Атаки Qbot периодически появляются в поле зрения исследователей безопасности, с фазами высокой активности и интервалами, когда атаки полностью прекращаются. Такое поведение, вероятно, позволяет злоумышленникам не привлекать излишнего внимания правоохранительных органов и дает им возможность дорабатывать и совершенствовать вредоносное ПО в свободное от работы время.
Группа, стоящая за Qbot, также печально известна тем, что выпускает новые модифицированные образцы вредоносного ПО с поразительной скоростью. Они ежедневно перепаковывают и перешифровывают код, что делает идентификацию вредоносного ПО с помощью антивирусных программ ненадежной.
К сожалению, личности людей, стоящих за Qbot, неизвестны, но широко распространено мнение, что кибербанда базируется где-то в Восточной Европе.
Процесс выполнения Qbot
Поскольку Qbot в основном нацелен на корпоративный сектор, основной способ его проникновения в зараженные системы - через вредоносный документ.
Один из примеров
Maldoc запускает несколько процессов, включая Powershell, с помощью макроса. Затем, используя cmd.exe, этот троян запускает цепочку команд и выполнений, создавая папки и временные файлы. Он использует Powershell для загрузки полезной нагрузки. Примечательно, что имя полезной нагрузки может состоять из шести одинаковых цифр или, реже, букв. Кроме того, полезная нагрузка часто имеет расширение .png, хотя это исполняемый файл.
После того как троян начинает свое основное выполнение, Qbot пытается избежать обнаружения, перезаписывая себя легитимным исполняемым файлом Windows calc.exe с помощью следующих команд: cmd.exe /c ping.exe -n 6 127.0.0.1 & type "C:\Windows\System32\calc.exe" > "Path to malware executable". Qbot также внедряет explorer.exe и добавляет себя в автозапуск для сохранения.
Распространение Qbot
Qbot использует несколько векторов атаки для заражения жертв. Вредоносная программа использует почтовый спам и фишинговые кампании, а также уязвимости для проникновения на свои цели. Одна из последних версий вредоносной программы распространялась с помощью дроппера.
Дроппер, устанавливающий Qbot, оснащен функцией отложенного выполнения. Это означает, что после загрузки самого дроппера на целевую машину он ждет около пятнадцати минут, прежде чем сбросить полезную нагрузку, вероятно, пытаясь обмануть автоматические песочницы и избежать обнаружения.