‫ تروجان QBot، با ربودن ایمیل‌های تجاری اقدام به انتشار بدافزار می‌کند

یافته‌های جدید شرکت کسپراسکی نشان می‌دهد که یک کمپین بدافزار جدید QBot از مکاتبات تجاری ربوده شده برای نصب بدافزار در سیستم قربانیان استفاده می‌کند.

تروجان QBot، ایمیل های تجاری را برای انتشار بدافزار ربوده است در آخرین اقدام که از 4 آوریل 2023 آغاز شد، عمدتاً کاربران آلمان، آرژانتین، ایتالیا، الجزایر، اسپانیا، ایالات متحده، روسیه، فرانسه، بریتانیا و مراکش را هدف قرار دادند.

QBot (با نام مستعار Qakbot یا Pinkslipbot) یک تروجان بانکی است که از سال 2007 فعال است علاوه بر سرقت رمزهای عبور و کوکی ها از مرورگرهای وب، در حملات Cobalt Strike یا باج افزار تعداد بک دورها را برای دسترسی دو برابر می کند.

این بدافزار که از طریق کمپین‌های فیشینگ منتشر می‌شود در طول فعالیت خود شاهد به‌روزرسانی‌های مداومی بوده است که شامل تکنیک‌های ضد ماشین مجازی، ضد اشکال‌زدایی، و ضد sandbox برای فرار از شناسایی است همچنین به عنوان رایج‌ترین بدافزار برای ماه مارس 2023 شناخته شده است.

محققان کسپراسکی با توضیح روش‌های توزیع QBot می‌گویند: «اوایل، از طریق وب‌سایت‌های آلوده و نرم‌افزارهای غیرقانونی توزیع می‌شد اکنون از طریق بدافزارهای موجود در رایانه‌ها، مهندسی اجتماعی و ارسال‌های هرزنامه به قربانیان تحویل داده می‌شود.» حملات ربودن ایمیل جدید نیست و زمانی اتفاق می‌افتد که مجرمان سایبری خود را وارد مکالمات تجاری موجود می‌کنند یا مکالمات جدیدی را بر اساس اطلاعاتی که قبلاً توسط حساب‌های ایمیل در معرض خطر جمع‌آوری شده بود، آغاز می‌کنند.

هدف ترغیب قربانیان به باز کردن پیوندهای مخرب یا پیوست های مخرب است، در این مورد، یک فایل PDF  مخرب به عنوان هشدار Microsoft Office 365 یا Microsoft Azure ظاهر می شود باز کردن سند منجر به بازیابی یک فایل آرشیو از یک وب سایت آلوده می شود که به نوبه خود حاوی یک فایل اسکریپت ویندوز است. این اسکریپت به نوبه خود دارای یک اسکریپت PowerShell است که یک فایل DLL مخرب را از یک سرور راه دور دانلود می کند. DLL دانلود شده بدافزار QBot است.

این یافته‌ها زمانی به دست آمد که آزمایشگاه‌های امنیتی Elastic یک کمپین مهندسی اجتماعی چند مرحله‌ای را کشف کردند که از اسناد مایکروسافت ورد تشکیل شده که از یک بار کننده مبتنی بر NET برای توزیع Agent Tesla و XWorm استفاده می‌کند.