Theo một nghiên cứu mới, một trojan ngân hàng khét tiếng nhằm đánh cắp thông tin tài khoản ngân hàng và các thông tin tài chính khác hiện đã trở lại với các thủ đoạn mới nhằm vào chính phủ, quân đội và các lĩnh vực sản xuất ở Mỹ và châu Âu, theo một nghiên cứu mới.
Trong một phân tích do Check Point Research đưa ra hôm nay, làn sóng hoạt động Qbot mới nhất dường như đã kết hợp với sự trở lại của Emotet – một phần mềm độc hại dựa trên email khác đằng sau một số chiến dịch spam do botnet điều khiển và các cuộc tấn công ransomware – vào tháng trước, với mẫu mới có khả năng thu thập một cách bí mật tất cả các chuỗi email từ máy khách Outlook của nạn nhân và sử dụng chúng cho các chiến dịch độc hại sau này.
“Ngày nay Qbot nguy hiểm hơn nhiều so với trước đây – nó có một chiến dịch malspam đang hoạt động nhằm lây nhiễm các tổ chức và nó quản lý để sử dụng cơ sở hạ tầng lây nhiễm của ‘bên thứ ba’ như của Emotet để lan truyền mối đe dọa hơn nữa”, công ty an ninh mạng cho biết .
Sử dụng chuỗi email bị xâm nhập làm mồi nhử
Được ghi nhận lần đầu vào năm 2008, Qbot (hay còn gọi là QuakBot, QakBot hoặc Pinkslipbot) đã phát triển trong nhiều năm từ một kẻ đánh cắp thông tin thành một “con dao của Quân đội Thụy Sĩ” thành thạo trong việc cung cấp các loại phần mềm độc hại khác, bao gồm Prolock ransomware, và thậm chí kết nối từ xa với hệ thống Windows của mục tiêu để thực hiện các giao dịch ngân hàng từ địa chỉ IP của nạn nhân.
Những kẻ tấn công thường lây nhiễm cho nạn nhân bằng cách sử dụng các kỹ thuật lừa đảo để dụ nạn nhân đến các trang web sử dụng phương thức khai thác để tiêm Qbot qua ống nhỏ giọt.
Một cuộc tấn công malspam được quan sát bởi F5 Labs vào tháng 6 đã tìm thấy phần mềm độc hại được trang bị các kỹ thuật phát hiện và nghiên cứu trốn tránh với mục tiêu trốn tránh khám nghiệm pháp y. Sau đó vào tuần trước, Morphisec đã giải nén một mẫu Qbot đi kèm với hai phương pháp mới được thiết kế để bỏ qua các hệ thống Giải trừ và Tái thiết nội dung (CDR) cũng như Phát hiện và Phản hồi Điểm cuối (EDR).
Chuỗi lây nhiễm được Check Point trình bày chi tiết theo một mô hình tương tự.
Bước đầu tiên bắt đầu với một email lừa đảo được tạo thủ công đặc biệt có chứa tệp ZIP đính kèm hoặc liên kết đến tệp ZIP bao gồm Visual Basic Script (VBS) độc hại, sau đó sẽ tiến hành tải xuống các trọng tải bổ sung chịu trách nhiệm duy trì kênh giao tiếp thích hợp với kẻ tấn công -điều khiển máy chủ và thực hiện các lệnh nhận được.
Đáng chú ý, các email lừa đảo được gửi đến các tổ chức được nhắm mục tiêu, dưới dạng COVID-19 thu hút, nhắc nhở nộp thuế và tuyển dụng việc làm, không chỉ bao gồm nội dung độc hại mà còn được chèn thêm các chuỗi email lưu trữ giữa hai bên để cho không khí của sự tín nhiệm.
Để đạt được điều này, các cuộc hội thoại được thu thập trước bằng cách sử dụng mô-đun thu thập email trích xuất tất cả các chuỗi email từ máy khách Outlook của nạn nhân và tải chúng lên máy chủ từ xa được mã hóa cứng.
Ngoài việc đóng gói các thành phần để lấy mật khẩu, cookie trình duyệt và chèn mã JavaScript trên các trang web ngân hàng, các nhà khai thác Qbot đã phát hành 15 phiên bản của phần mềm độc hại kể từ đầu năm, với phiên bản cuối cùng được phát hành vào ngày 7 tháng 8.
Hơn nữa, Qbot đi kèm với một Plugin hVNC giúp bạn có thể điều khiển máy nạn nhân thông qua kết nối VNC từ xa.
“Người điều hành bên ngoài có thể thực hiện các giao dịch ngân hàng mà người dùng không hề hay biết, ngay cả khi anh ta đang đăng nhập vào máy tính của mình”, Check Point lưu ý. “Mô-đun chia sẻ phần trăm mã cao với các mô-đun tương tự như hVNC của TrickBot.”
Từ một máy bị nhiễm bệnh đến một máy chủ điều khiển
Đó không phải là tất cả. Qbot cũng được trang bị một cơ chế riêng để tuyển dụng các máy bị xâm nhập vào mạng botnet bằng cách sử dụng mô-đun proxy cho phép sử dụng máy bị nhiễm làm máy chủ điều khiển.
Với việc Qbot chiếm đoạt các chuỗi email hợp pháp để phát tán phần mềm độc hại, điều cần thiết là người dùng phải giám sát email của họ để tìm các cuộc tấn công lừa đảo, ngay cả trong trường hợp chúng xuất phát từ một nguồn đáng tin cậy.
Yaniv Balmas của Check Point Research cho biết: “Nghiên cứu của chúng tôi cho thấy các dạng phần mềm độc hại cũ hơn có thể được cập nhật với các tính năng mới như thế nào để biến chúng thành mối đe dọa nguy hiểm và dai dẳng”. “Các tác nhân đe dọa đằng sau Qbot đang đầu tư rất nhiều vào sự phát triển của nó để cho phép đánh cắp dữ liệu trên quy mô lớn từ các tổ chức và cá nhân.”
Balmas cho biết thêm: “Chúng tôi đã thấy các chiến dịch malspam đang hoạt động phân phối trực tiếp Qbot, cũng như việc sử dụng cơ sở hạ tầng lây nhiễm của bên thứ ba như của Emotet để lan truyền mối đe dọa hơn nữa”.
