Отключен JavaScript

У вас отключен JavaScript. Некоторые возможности системы не будут работать. Пожалуйста, включите JavaScript для получения доступа ко всем функциям.

Троян Qbot тоже научился прятаться в переписке

Автор темы Gastro, мая 03 2019 01:53

Авторизуйтесь для ответа в теме

Сообщений в теме: 12

#1 Gastro

Новичок

65 topics
Пользователь
27 сообщений

Отправлено 03 мая 2019 - 01:53

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.

Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.

К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.

Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.

Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.

В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.

0

#2 Соловей

МЕСТНЫЙ

27 topics
Пользователи
594 сообщений

Откуда:Марс

Отправлено 03 мая 2019 - 09:13

прикольно.

0

#3 Schulz

МЕСТНЫЙ

33 topics
Пользователи
476 сообщений

Отправлено 04 мая 2019 - 08:29

Научился вот молодец.

0

#4 Paragraf

МЕСТНЫЙ

72 topics
Пользователи
834 сообщений

Отправлено 23 мая 2019 - 12:15

Вот молодец.

0

#5 n_atalyafrolova

Пользователь

0 topics
Пользователи
32 сообщений

Отправлено 24 мая 2019 - 09:38

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.

Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.

К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.

Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.

Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.

В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.