Qbot恶意软件在针对企业的新攻击中重新出现

admin

Qbot恶意软件在针对企业的新攻击中重新出现

恶意软件

这种新的、持久且难以检测的Qbot版本旨在窃取财务信息。
十年前的Qbot金融恶意软件在针对迄今已感染数千个系统的企业的新攻击中重新出现了一个改进版本。数据安全解决方案提供商Varonis的研究人员在一位客户通知他们计算机上的可疑活动后发现了这一攻击。罪魁祸首是一种新型qbot病毒的感染，这种病毒也被称为qakbot，正试图传播到网络上的其他系统。
Qbot是过去十年中最成功的恶意软件家族之一，部分原因是它的源代码对网络犯罪分子是可用的，因此可以很容易地修改和扩展。这个恶意程序最初是一个用来窃取网上银行凭证的特洛伊木马程序，但在过去几年中得到了许多改进。
有趣的是，Qbot是一种半多态的威胁，因为它的命令和控制服务器定期对代码和配置进行重新加扰，以避免基于签名的防病毒检测。这种威胁还具有类似蠕虫的功能，允许它通过暴力强制Windows域凭据在企业网络中横向移动。
新的Qbot攻击如何工作
在Varonis调查的攻击中，最初的安装程序或“Dropper”很可能以电子邮件附件的形式发送，扩展名为.doc.vbs。vbs是Windows本机支持的脚本语言。
如果执行，恶意脚本将使用Windows Bitsadmin命令行工具从命令和控制服务器下载Qbot加载器。以前的Qbot版本使用了PowerShell，但由于PowerShell已成为常见的恶意软件传递方法，因此它的使用在企业系统上受到密切监控。”执行核心恶意软件的加载程序有多个版本，即使在执行之后也会不断更新，”Varonis的研究人员在他们的报告中说。
受害者收到的版本取决于vbs文件中硬编码的参数，因此针对不同类型的用户和组织可能会有不同的电子邮件活动。此外，Varonis还发现加载程序使用8个不同的代码签名证书进行了数字签名，这些证书很可能是从不同实体窃取的。
如果一个文件是数字签名的，这并不意味着它不是恶意的，就像一个网站使用HTTPS一样，这并不意味着它没有托管恶意软件或钓鱼网页。然而，数字签名的文件在Windows中触发的警告不那么可怕，并且有时被配置不好的端点安全代理或文件白名单解决方案自动信任。
安装后，Qbot将创建计划任务，并将条目添加到系统注册表以实现持久性。然后，恶意软件开始记录用户键入的所有击键，窃取浏览器中保存的凭据和身份验证cookie，并将恶意代码注入其他进程以搜索和窃取与财务相关的文本字符串。
Varonis访问了攻击者使用的一个命令和控制服务器，并找到显示2726个唯一受害者IP地址的日志。在美国有1700多人，但在加拿大、英国、德国、法国、巴西、南非、印度、中国和俄罗斯也发现了受害者。
由于一个组织内的计算机通常通过一个共享的IP地址访问因特网，研究人员认为，单个受感染系统的数量要大得多。此外，日志显示，许多被破坏的系统安装了来自不同供应商的防病毒程序，再次突出了Qbot规避防病毒检测的能力。