eGospodarka.pl › Wiadomości › Technologie › Internet › Trojan Qbot powraca jeszcze groźniejszy. Zainfekował już 100 tys. osób

Trojan Qbot powraca jeszcze groźniejszy. Zainfekował już 100 tys. osób

2020-08-28 14:08

Trojan Qbot zainfekował już przeszło 100 tys. użytkowników na całym świecie © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (3)

Trojan Qbot zaznaczył swoją obecność już w przeszłości. Teraz jednak powraca w zmienionej i jeszcze bardziej niebezpiecznej odsłonie - ostrzegają analitycy Check Point. Zagrożone są m.in. dane bankowości elektronicznej oraz numery kart kredytowych. Eksperci podejrzewają, że ofiarą nowego zagrożenia mogło paść już 100 tys. internautów z całego globu.

Przeczytaj także: Groźny trojan odradza się po 5 miesiącach uśpienia

Pojawienie się nowej odmiany trojana Qbot potwierdzają obserwacje prowadzone od marca do sierpnia 2020 roku przez zespół badaczy firmy Check Point. W jednej z przeprowadzonych z jego użyciem kampanii był on rozpowszechniany przez inne, znane ze swojej złośliwości zagrożenia - trojana bankowego Emotet. Zdaniem ekspertów jest to wyraźny dowód na to, że hakerzy sięgnęli po niestosowaną dotąd formę dystrybucji.

Check Point zauważył również, że nowy Qbot zyskał odświeżoną infrastrukturę c&c (dowodzenia i kontroli), co umożliwia jego twórcom jeszcze szerszy zakres działań. Według badaczy trojan stał się złośliwym odpowiednikiem szwajcarskiego scyzoryka, który potrafi m.in. wykradać informacje (w tym hasła, e-maile, dane kart kredytowych), instalować oprogramowanie ransomware czy dokonywać nieautoryzowanych transakcji bankowych. To wysoce ustrukturyzowany i wielowarstwowy malware - przestrzegają eksperci.

Przechwytywanie wątków e-mail

Początkowy łańcuch infekcji rozpoczyna się od wysłania specjalnie spreparowanych wiadomości e-mail do organizacji lub osób prywatnych. Każda z wiadomości e-mail zawiera adres URL do pliku ZIP ze złośliwym plikiem Visual Basic Script (VBS), który zawiera kod wykonawczy w systemie Windows.

Kliknij, aby powiekszyć

fot. mat. prasowe

Łańcuch infekcji

Początkowy łańcuch infekcji rozpoczyna się od wysłania specjalnie spreparowanych wiadomości e-mail do organizacji lub osób prywatnych

Kliknij, aby przejść do galerii (3)

Po zainfekowaniu komputera, Qbot aktywuje specjalny „moduł do zbierania wiadomości e-mail”, który wyodrębnia wszystkie wątki wiadomości e-mail z konta Outlook ofiary i przesyła je na zakodowany na stałe serwer zdalny. Skradzione wiadomości e-mail są następnie wykorzystywane w przyszłych kampaniach spamowych, co ułatwia nakłonienie użytkowników do kliknięcia zainfekowanych załączników, ponieważ spam wydaje się kontynuować istniejącą wymianę e-maili.

- Nasze badania pokazują, że nawet starsze formy złośliwego oprogramowania można aktualizować o nowe funkcje, aby uczynić je niebezpiecznym i trwałym zagrożeniem. Hakerzy intensywnie inwestują w rozwój Qbota, aby umożliwić kradzież danych na masową skalę - zarówno od organizacji, jak i osób fizycznych. Byliśmy świadkami kampanii złośliwego spamu, które rozpowszechniały Qbota bezpośrednio, a także takich, które wykorzystywały inne infrastruktury infekcyjne do dalszego rozprzestrzeniania zagrożenia. Mamy nadzieję, że nasze obserwacje i badania nad Qbotem pomogą położyć kres temu zagrożeniu. – mówi Yaniv Balmas, szef działu badan cybernetycznych w Check Point - Na razie zdecydowanie polecam uważne obserwowanie e-maili pod kątem oznak wskazujących na próbę wyłudzenia informacji - nawet jeśli wiadomość e-mail wydaje się pochodzić z zaufanego źródła – dodaje ekspert Check Pointa.

Jak na razie głównym celem ataków Qbota były Stany Zjednoczone, w których zanotowano prawie 29% wszystkich infekcji. Na celowniku hakerów byli również użytkownicy z Indii, Izraela i Włoch – w tych krajach odnotowano odpowiednio 7% wszystkich ataków.