Một chiến dịch phần mềm độc hại QBot mới đang tận dụng thư từ kinh doanh bị tấn công để lừa các nạn nhân không nghi ngờ cài đặt phần mềm độc hại, những phát hiện mới từ Kaspersky tiết lộ.
Hoạt động mới nhất, bắt đầu vào ngày 4/4/2013, chủ yếu nhắm vào người dùng ở Đức, Argentina, Ý, Algeria, Tây Ban Nha, Mỹ, Nga, Pháp, Anh và Morocco.
QBot (hay còn gọi là Qakbot hoặc Pinkslipbot) là một trojan ngân hàng được biết là đã hoạt động ít nhất từ năm 2007. Bên cạnh việc đánh cắp mật khẩu và cookie từ các trình duyệt web, nó tăng gấp đôi như một cửa hậu để tiêm các tải trọng giai đoạn tiếp theo như Cobalt Strike hoặc ransomware.
Được phân phối thông qua các chiến dịch lừa đảo, phần mềm độc hại đã được cập nhật liên tục trong suốt vòng đời của nó, đóng gói các kỹ thuật chống VM, chống gỡ lỗi và chống hộp cát để tránh bị phát hiện. Nó cũng nổi lên như là phần mềm độc hại phổ biến nhất trong tháng 3/2023, theo Check Point.
"Ban đầu, nó được phân phối thông qua các trang web bị nhiễm và phần mềm lậu", các nhà nghiên cứu của Kaspersky cho biết, giải thích các phương pháp phân phối của QBot. "Giờ đây, nhân viên ngân hàng được gửi đến các nạn nhân tiềm năng thông qua phần mềm độc hại đã cư trú trên máy tính, kỹ thuật xã hội và thư rác của họ."
Các cuộc tấn công chiếm quyền điều khiển chuỗi email không phải là mới. Nó xảy ra khi tội phạm mạng tự chèn mình vào các cuộc trò chuyện kinh doanh hiện có hoặc bắt đầu các cuộc trò chuyện mới dựa trên thông tin thu thập được trước đó bởi các tài khoản email bị xâm nhập.
Mục đích là để lôi kéo nạn nhân mở các liên kết độc hại hoặc tệp đính kèm độc hại, trong trường hợp này là một tệp PDF kèm theo giả mạo là cảnh báo Microsoft Office 365 hoặc Microsoft Azure.
Mở tài liệu dẫn đến việc truy xuất tệp lưu trữ từ một trang web bị nhiễm, do đó, chứa Tệp tập lệnh Windows bị xáo trộn (. WSF). Về phần mình, tập lệnh kết hợp tập lệnh PowerShell tải xuống DLL độc hại từ máy chủ từ xa. DLL đã tải xuống là phần mềm độc hại QBot.
Những phát hiện này được đưa ra khi Elastic Security Labs khai quật được một chiến dịch kỹ thuật xã hội nhiều giai đoạn sử dụng các tài liệu Microsoft Word được vũ khí hóa để phân phối Đặc vụ Tesla và XWorm bằng phương tiện tùy chỉnh. Trình tải dựa trên NET.