Ngày 17 tháng 4 năm 2023Ravie LakshmananAn ninh tài chính / Phần mềm độc hại
Một chiến dịch phần mềm độc hại QBot mới đang tận dụng thư từ kinh doanh bị tấn công để lừa các nạn nhân nhẹ dạ cài đặt phần mềm độc hại, những phát hiện mới từ Kaspersky tiết lộ.
Hoạt động mới nhất, bắt đầu vào ngày 4 tháng 4 năm 2023, chủ yếu nhắm mục tiêu người dùng ở Đức, Argentina, Ý, Algeria, Tây Ban Nha, Hoa Kỳ, Nga, Pháp, Vương quốc Anh và Ma-rốc.
QBot (hay còn gọi là Qakbot hoặc Pinkslipbot) là một trojan ngân hàng được biết là hoạt động ít nhất từ năm 2007. Bên cạnh việc đánh cắp mật khẩu và cookie từ trình duyệt web, nó còn đóng vai trò như một cửa hậu để tiêm các tải trọng giai đoạn tiếp theo như Cobalt Strike hoặc ransomware.
Được phân phối thông qua các chiến dịch lừa đảo, phần mềm độc hại này đã nhận được các bản cập nhật liên tục trong suốt thời gian tồn tại của nó, gói gọn trong các kỹ thuật chống máy ảo, chống gỡ lỗi và chống hộp cát để tránh bị phát hiện. Nó cũng nổi lên là phần mềm độc hại phổ biến nhất trong tháng 3 năm 2023, theo Check Point.
“Ngay từ đầu, nó đã được phân phối thông qua các trang web bị nhiễm và phần mềm vi phạm bản quyền”, các nhà nghiên cứu của Kaspersky cho biết, giải thích các phương pháp phân phối của QBot. “Giờ đây, nhân viên ngân hàng được chuyển đến các nạn nhân tiềm năng thông qua phần mềm độc hại đã có sẵn trên máy tính của họ, kỹ thuật xã hội và thư rác.”
Các cuộc tấn công chiếm quyền điều khiển chuỗi email không phải là mới. Nó xảy ra khi tội phạm mạng tự chèn mình vào các cuộc hội thoại kinh doanh hiện có hoặc bắt đầu các cuộc hội thoại mới dựa trên thông tin thu thập được trước đó bởi các tài khoản email bị xâm phạm.
Mục tiêu là lôi kéo nạn nhân mở các liên kết độc hại hoặc tệp đính kèm độc hại, trong trường hợp này là tệp PDF đính kèm giả dạng cảnh báo Microsoft Office 365 hoặc Microsoft Azure.
Việc mở tài liệu dẫn đến việc truy xuất một tệp lưu trữ từ một trang web bị nhiễm, đến lượt nó, chứa Tệp Windows Script (.WSF) bị xáo trộn. Về phần mình, tập lệnh kết hợp tập lệnh PowerShell tải xuống DLL độc hại từ máy chủ từ xa. DLL đã tải xuống là phần mềm độc hại QBot.
Các phát hiện được đưa ra khi Phòng thí nghiệm bảo mật đàn hồi đã phát hiện ra một chiến dịch kỹ thuật xã hội nhiều giai đoạn sử dụng các tài liệu Microsoft Word được vũ khí hóa để phân phối Agent Tesla và XWorm bằng một trình tải dựa trên .NET tùy chỉnh.
