Новата QBot тројанска кампања краде деловни мејлови за да шири малициозен софтвер

Новата QBot малвер кампања ја користи пробиената деловна кореспонденција за да ги измами доверливите жртви да инсталираат малициозен софтвер, откриваат новите наоди од Kaspersky.

Последната активност, која започна на 4 април 2023 година, првенствено ги таргетираше корисниците во Германија, Аргентина, Италија, Алжир, Шпанија, САД, Русија, Франција, Велика Британија и Мароко.

QBot (познато како Qakbot или Pinkslipbot) е банкарски тројанец за кој се знае дека е активен од 2007 година. Покрај кражбата на лозинки и колачиња од веб-прелистувачите, тој се удвојува како backdoor за вметнување payload во следната фаза, како што е Cobalt Strike или ransomware.

Дистрибуиран преку phishing кампањи, малициозниот софтвер забележал постојани ажурирања во текот на својот животен век, кои пакуваат во анти-VM, анти-дебагирање и анти-sandbox за да избегне откривање. Исто така, се појави како најраспространет малициозен софтвер за месец март 2023 година, по Check Point.

„На почетокот, тој беше дистрибуиран преку заразени веб-страници и пиратски софтвер“, изјавија истражувачите на Kaspersky, објаснувајќи ги методите на дистрибуција на QBot. „Сега банкарот им се доставува на потенцијалните жртви преку малициозен софтвер кој веќе се наоѓа на нивните компјутери, social engineering и спам мејлови.

Нападите за крадење мејлови не се нови. Тоа се случува кога сајбер-криминалците се вметнуваат во постоечки деловни разговори или иницираат нови разговори врз основа на информации претходно собрани од компромитирани сметки за е-пошта.

Целта е да се наведат жртвите да отворат малициозни врски или малициозни прилози, во овој случај, приложена PDF-датотека што се маскира како предупредување на Microsoft Office 365 или Microsoft Azure.

Отворањето на документот води до враќање на архивска датотека од заразена веб-страница која, пак, содржи заматена Windows Script File (.WSF). Скриптата, од своја страна, вклучува PowerShell скрипта која презема малициозни DLL од оддалечен сервер. Преземениот DLL е QBot малициозен софтвер.

Наодите доаѓаат откако Elastic Security Labs открија повеќестепена кампања за social engineering која користи документи на Microsoft Word за дистрибуција на Agent Tesla и XWorm со помош на прилагоден подигнувач базиран на .NET.

Извор: TheHackerNews

Check Also

Android апликации со spyware инсталирани 421 милион пати од Google Play

Нов Android малвер дистрибуиран како SDK реклама е откриен во повеќе апликации, многумина претходно на …