‫ ایمیل های تجاری قربانی اپدیت جدید تروجان QBOT

بروزرسانی جدید تروجان بانکداری QBot، ازطریق ایمیل های تجاری برای انتشار بدافزار استفاده می کند یافته‌های جدید کسپرسکی نشان می‌دهد که کمپین بدافزار QBot به تازگی برای فریب قربانیان ناآگاه با نصب بدافزار، اطلاعات تجاری را سرقت می نماید.

فعالیت این روش باج افزار که در تاریخ 4 آوریل 2023 آغاز شد، عمدتاً کاربران آلمان، آرژانتین، ایتالیا، الجزایر، اسپانیا، ایالات متحده، روسیه، فرانسه، بریتانیا و مراکش را هدف حمله قرار داده است. QBot (با نام مستعار Qakbot یا Pinkslipbot) یک تروجان بانکی است که حداقل از سال 2007 فعال بوده است.

علاوه بر سرقت رمزهای عبور و کوکی‌ها از مرورگرهای وب، به عنوان یک درب پشتی برای تزریق مراحل حمله مانند شبیه ساز Cobalt Strike یا باج‌افزار عمل می‌کند. این بدافزار که از طریق کمپین‌های فیشینگ توزیع می‌شود، در طول حیات خود شاهد به‌روزرسانی‌های مداومی بوده است که شامل تکنیک‌های ضد VM، ضد عیب یابی، و ضد sandbox برای فرار از شناسایی است.

همچنین به عنوان رایج‌ترین بدافزار برای ماه مارس 2023، در هر Check Point ظاهر شده است. محققان کسپرسکی با توضیح روش‌های توزیع QBot می‌گویند: «اوایل،بدافزار از طریق وب‌سایت‌های آلوده و نرم‌افزارهای غیرقانونی توزیع می‌شد». اکنون بدافزارهای موجود با مهندسی اجتماعی و ارسال‌های هرزنامه به قربانیان احتمالی از طریق رایانه‌های بانکداران ارسال می شود.» حملات ربودن رشته ایمیل جدید نیست. زمانی اتفاق می‌افتد که مجرمان سایبری خود را وارد مکالمات تجاری موجود می‌کنند یا مکالمات جدیدی را بر اساس اطلاعاتی که قبلاً توسط حساب‌های ایمیل در معرض خطر جمع‌آوری شده بود، آغاز می‌کنند.

هدف ترغیب قربانیان به باز کردن پیوندهای مخرب یا پیوست های مخرب است، در این مورد، یک فایل PDF محصور شده که به عنوان هشدار Microsoft Office 365 یا Microsoft Azure ظاهر می شود. باز کردن سند منجر به بازیابی یک فایل آرشیو از یک وب سایت آلوده می شود که به نوبه خود حاوی یک فایل اسکریپت ویندوز (WSF) است. این اسکریپت به نوبه خود دارای یک اسکریپت PowerShell است که DLL مخرب را از یک سرور راه دور دانلود می کند. DLL دانلود شده بدافزار QBot است.

این یافته‌ها زمانی به دست آمد که آزمایشگاه‌های امنیتی Elastic یک کمپین مهندسی اجتماعی چند مرحله‌ای را کشف کردند که از اسناد مایکروسافت word و نرم افزار برای توزیع Agent Tesla و XWorm با استفاده از یک لودر مبتنی بر NET سفارشی ،استفاده می گردد.