Trojan ngân hàng QakBot đã trở lại với các thủ đoạn mới

sImplePerson

Member
23/03/2020
11
28 bài viết
Trojan ngân hàng QakBot đã trở lại với các thủ đoạn mới
banking-malware.jpg

Theo một nghiên cứu mới, một trojan ngân hàng khét tiếng nhằm đánh cắp thông tin tài khoản ngân hàng và các thông tin tài chính khác hiện đã trở lại với các thủ đoạn mới nhằm vào chính phủ, quân đội và các lĩnh vực sản xuất ở Mỹ và châu Âu.
Trong một phân tích mới đây của công ty Check Point Research, hoạt động mới nhất của Qbot có thể đã kết hợp với sự trở lại của Emotet - một trojan phát tán qua email khác đứng sau nhiều chiến dịch spam do botnet điều khiển và các cuộc tấn công ransomware vào tháng trước. Mẫu mới có thể thu thập bí mật tất cả các chuỗi email từ ứng dụng Outlook Client của nạn nhân và sử dụng chúng cho các chiến dịch malspam sau này.
"Ngày nay Qbot nguy hiểm hơn nhiều so với trước đây - có một chiến dịch malspam đang hoạt động nhằm lây nhiễm các tổ chức và Qbot sử dụng cơ sở hạ tầng lây nhiễm của 'bên thứ ba' như Emotet để tạo ra mối đe dọa nguy hiểm hơn", Check Point Research cho biết .

Sử dụng chuỗi email bị xâm nhập làm mồi nhử

Được phát hiện lần đầu tiên vào năm 2008, Qbot (hay còn gọi là QuakBot, QakBot hoặc Pinkslipbot) không chỉ đánh cắp thông tin mà đã phát tiển thành một "Swiss Army knife" (dao đa năng quân đội) trong việc cung cấp các loại phần mềm độc hại như Prolock ransomware và thậm chí kết nối từ xa với mục tiêu Hệ thống Windows, để thực hiện các giao dịch ngân hàng từ địa chỉ IP của nạn nhân.
Những kẻ tấn công thường lây nhiễm Qbot bằng cách lừa đảo, dụ nạn nhân đến các trang web độc hại.
Một cuộc tấn công bằng malspam được F5 Labs quan sát vào tháng 6 đã phát hiện ra phần mềm độc hại này được trang bị các kỹ thuật để tránh bị phát hiện thông qua điều tra số. Vào tuần trước, Morphisec đã giải nén một mẫu Qbot đi kèm với hai phương pháp mới được thiết kế để vượt qua các hệ thống Giải trừ và Tái thiết nội dung (CDR) và Phát hiện và Phản hồi Điểm cuối (EDR).
hacking-malware.jpg
Chuỗi lây nhiễm được Check Point trình bày chi tiết theo một mô hình tương tự.

Bước đầu tiên là gửi một email lừa đảo có đính kèm tệp ZIP hoặc liên kết đến tệp ZIP bao gồm Tập lệnh Visual Basic (VBS) độc hại, sau đó sẽ tiến hành tải xuống các payload bổ sung để duy trì kênh giao tiếp thích hợp với kẻ tấn công - điều khiển máy chủ và thực hiện các lệnh nhận được.
Đáng chú ý, các email lừa đảo được gửi đến các tổ chức được nhắm mục tiêu, liên quan đến COVID-19, nhắc nhở nộp thuế và tuyển dụng, không chỉ bao gồm nội dung độc hại mà còn được chèn thêm các chuỗi email lưu trữ giữa hai bên để cho tăng sự tín nhiệm.
hacking-country.jpg
Để đạt được điều này, các cuộc hội thoại được thu thập trước bằng cách sử dụng mô-đun thu thập email trích xuất tất cả các chuỗi email từ máy khách Outlook của nạn nhân và tải chúng lên máy chủ từ xa được mã hóa cứng.

Ngoài việc có thể đánh cắp mật khẩu, cookie trình duyệt và chèn mã JavaScript trên các trang web ngân hàng, thủ phạm đứng sau Qbot đã phát hành tới 15 phiên bản phần mềm độc hại kể từ đầu năm, với phiên bản cuối cùng được phát hành vào ngày 7 tháng 8.

Hơn thế nữa , Qbot đi kèm với một Plugin hVNC có thể điều khiển máy nạn nhân thông qua kết nối VNC từ xa.

Theo Check Point, kẻ tấn công bên ngoài có thể thực hiện các giao dịch ngân hàng mà người dùng không hề hay biết, ngay cả khi nạn nhân đang đăng nhập vào máy tính của mình. Code của mô-đun này có nhiều điểm tương đồng với các mô-đun tương tự như hVNC của TrickBot."

Từ một máy bị lây nhiễm đến máy chủ điều khiển

Qbot cũng được trang bị một cơ chế riêng để điều khiển các máy bị xâm nhập vào mạng botnet bằng cách sử dụng mô-đun proxy cho phép sử dụng máy bị nhiễm làm máy chủ điều khiển.

Với việc Qbot chiếm đoạt các chuỗi email hợp pháp để phát tán phần mềm độc hại, người dùng phải cẩn trọng với các email, ngay cả trong trường hợp chúng xuất phát từ một nguồn đáng tin cậy.

Yaniv Balmas của Check Point Research cho biết: “Nghiên cứu của chúng tôi cho thấy các phần mềm độc hại cũ có thể được cập nhật các tính năng mới để biến chúng thành mối đe dọa nguy hiểm hơn. Những kẻ đứng sau Qbot đang tập trung phát triển trojan này để đánh cắp dữ liệu trên quy mô lớn từ các tổ chức và cá nhân".

Balmas cho biết đã tìm thấy bằng chứng các chiến dịch malspam đang hoạt động để lây nhiễm Qbot cũng như việc sử dụng cơ sở hạ tầng của bên thứ ba như Emotet.

Theo Thehackernews
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên