Botnet Qakbot znów atakuje
2022-03-11 12:13
Botnet Qakbot znów atakuje © fot. mat. prasowe
Przeczytaj także: Wojna w Ukrainie: ataki rosyjskich hakerów mogą się nasilić
Od złośliwej faktury do kradzieży danych
W ostatnich miesiącach botnet Qakbot jest częściej wykorzystywany przez cyberprzestępców, ponieważ „konkurencyjne” oprogramowanie, takie jak Emotet i Trickbot, było blokowane przez organy ścigania i firmy technologiczne. Złośliwe załączniki oraz linki rozsyłane są za pomocą spamu. Cyberprzestępcy wstawiają swoje wiadomości w istniejące wątki na skrzynkach ofiary. E-mail zachęca do pobrania fałszywej faktury lub innego dokumentu Word lub Excel. Otwarcie takiego pliku i kliknięcie w opcję „Włącz edytowanie” powoduje zainfekowanie komputera złośliwym oprogramowaniem.
Po aktywowaniu, Qakbot szczegółowo skanuje konta użytkownika i komputer – zainstalowane programy, uprawnienia, uruchomione usługi oraz możliwość połączenia się z innymi urządzeniami znajdującymi się w pobliżu. Może wykradać hasła z przeglądarki i plików cookie, dane logowania do bankowości elektronicznej czy e-maile ze skrzynki ofiary i przekazywać te informacje na serwer przestępców. Pozyskana w ten sposób lista kontaktów i wiadomości służy do rozsyłania spamu do kolejnych osób. Botnet używa zaawansowanego szyfrowania do ukrywania swoich działań, dlatego trudno go wykryć.
fot. mat. prasowe
Botnet Qakbot znów atakuje
Sygnały ostrzegawcze – na co uważać?
Qakbot włącza się w prawdziwą konwersację e-mailową, dlatego dla potencjalnych ofiar może być trudne rozpoznanie czy wiadomość napisał klient lub kontrahent, czy też jest to próba ataku.
Niezmiennie kluczowa jest ostrożność użytkowników. Wszelkie nietypowe lub nieoczekiwane e-maile powinny budzić podejrzenia, nawet jeśli wydają się być odpowiedzią na wcześniejsze wiadomości w ramach jednego wątku. Warto zwracać uwagę na wszelkie nieścisłości i błędy językowe. W ostatniej kampanii Qakbot charakterystyczne było użycie łacińskich fraz w adresach URL. Czasem może to też być też brak polskich znaków lub problemy z ich zapisem – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Botnety często są wykorzystywane jako pierwsze stadium ataku ransomware, ich twórcy mogą też sprzedawać informacje i dostęp do naruszonych sieci innym przestępcom. Dlatego zespoły ds. bezpieczeństwa w firmach powinny na bieżąco monitorować sieć i usuwać wszelkie ślady złośliwego oprogramowania. Ważne jest też sprawdzanie czy stosowane rozwiązania ochronne zapobiegają takim infekcjom.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)