Троян Qbot тоже научился прятаться в переписке

25 апреля 2019 г., четверг

Вредоносные сообщения рассылаются адресно и используют форму ответа на письмо, отправленное пользователем.

Распространители банкера Qbot, известного с 2009 года, запустили очередную email-кампанию, но с нововведением. Команда Special Operations из американской компании JASK обнаружила, что злоумышленники начали маскировать вредоносные сообщения, пользуясь уже существующей электронной перепиской.

Гиперссылка на загрузку Windows-трояна вставляется в реальный ответ на письмо, некогда отправленное потенциальной жертвой. Это позволяет усыпить бдительность мишеней и обойти защиту от спама.

К такому методу маскировки злоумышленники уже прибегали, притом совсем недавно. В середине апреля сразу несколько исследовательских групп сообщили, что после того, как троян Emotet научился красть электронную переписку, его распространители начали активно этим пользоваться. В ходе целевых атак они рассылали намеченным жертвам реальные письма их корреспондентов, но с небольшими модификациями. Знакомый адрес в строке повышал доверие к источнику, и получатель переходил по внедренной ссылке или открывал прикрепленный документ Word с вредоносным макросом. В числе пострадавших оказались Германия, Канада, США, Япония, Мексика и страны Южной Америки.

Теперь этот же трюк используется для доставки банкера-долгожителя Qbot, известного также как QakBot и Pinkslipbot. Троян, специализирующийся в основном на краже данных для доступа к банковским счетам, уже десять лет состоит на вооружении у преступников. Его популярности способствует умение самовоспроизводиться через съемные носители общего доступа, а также полиморфизм — постоянное видоизменение программного кода, которое позволяет обходить антивирусную защиту.

Ранее на компьютер жертвы Qbot попадал в основном при открытии документа Word, в котором содержался вредоносный макрос. Однако в начале марта команда компании Varonis обнаружила, что распространители трояна изменили схему его доставки: вместо макроса цепочку заражения стал запускать VBS-скрипт, а скачивание полезной нагрузки происходит с использованием средства управления командной строкой BITSAdmin.

В текущей кампании преступники сочетают эту схему заражения с новым способом маскировки вредоносных писем. Внедряемые ими ссылки указывают на онлайн-документ, размещенный в Microsoft OneDrive. Этот zip-архив содержит VBS-скрипт, запускающий цепочку заражения. Целевой исполняемый файл загружается со стороннего сервера под видом картинки — August.png.

Threatpost