Ботнет Qbot теперь рассылает полезную нагрузку с помощью фишинговых писем с защищенными паролем вложениями ZIP-архивов, содержащих вредоносные пакеты MSI Windows Installer.
Операторы Qbot впервые используют эту тактику, отказавшись от стандартного способа доставки вредоносного ПО через фишинговые письма, сбрасывающие на устройства жертв документы Microsoft Office с вредоносными макросами.
Исследователи безопасности подозревают, что этот шаг может быть прямой реакцией на то, что компания Microsoft объявила о планах по борьбе с доставкой вредоносного ПО через макросы VBA Office в феврале после отключения макросов Excel 4.0 (XLM) по умолчанию в январе.
Microsoft начала распространять функцию автоблокировки макросов VBA среди пользователей Office для Windows в начале апреля 2022 года, начиная с версии 2203 в текущем канале (Preview) и позже в других каналах выпуска и более старых версиях.
"Несмотря на различные способы рассылки Qakbot, которые используют злоумышленники, эти кампании объединяет использование вредоносных макросов в документах Office, в частности макросов Excel 4.0", - заявили в Microsoft в декабре.
"Следует отметить, что, хотя угрозы используют макросы Excel 4.0 в попытке избежать обнаружения, эта функция теперь отключена по умолчанию, и поэтому пользователям приходится включать ее вручную, чтобы такие угрозы выполнялись должным образом".
Это значительное улучшение безопасности для защиты пользователей Office, поскольку использование вредоносных макросов VBA, встроенных в документы Office, является распространенным методом для распространения большого количества штаммов вредоносных программ в фишинговых атаках, включая Qbot, Emotet, TrickBot и Dridex.
Что такое Qbot?
Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это модульный банковский троян для Windows с функциями червя, используемый как минимум с 2007 года для кражи банковских реквизитов, личной информации и финансовых данных, а также для установки бэкдоров на взломанных компьютерах и развертывания маяков Cobalt Strike.
Эта вредоносная программа также известна тем, что заражает другие устройства во взломанной сети, используя уязвимости сетевого ресурса и агрессивные атаки методом перебора, направленные на учетные записи администраторов Active Directory.
Хотя вредоносная программа Qbot активна уже более десяти лет, она в основном используется в целенаправленных атаках на корпоративные предприятия, поскольку обеспечивает более высокую рентабельность инвестиций.
Множество банд вымогателей, включая REvil, Egregor, ProLock, PwndLocker и MegaCortex, также использовали Qbot для проникновения в корпоративные сети.
Поскольку заражение Qbot может привести к опасным инфекциям и разрушительным атакам, ИТ-администраторам и специалистам по безопасности необходимо ознакомиться с этой вредоносной программой, тактикой ее распространения по сети и тактикой, используемой операторами ботнетов для доставки ее к новым целям.
Indicators of Compromise
MD5
- 1cdc22919e0a2102d331592c20ebca80
- 6b8e75c10de8b63942062ac2817acac5
- fad2537fd72b098f1d709af96833bf3b
SHA1
- d24fab6817992fa6e2560aaf993b069a2caba34a
- 8a56254475100e177d53ad822e4748f8099484ca
- 59b065291997665c4af9d36de2636bddbe4bfbac
SHA256
- 12361b94bae2da00f0215d8a22674066dd4198d3c5795c3dfdad605b3a15ffb5
- 55f6badc15ea22a6d9780b0ab9934b03cbf271542ac94753aa7ff612592576d2
- e0a0500e1af48242fb162986a3c5904dcd8781694f6dbacfa8f68b71c6b0fa4e