Genopblomstringen af Qakbot-banktrojanske malware laver endnu en gang bølger og understreger de vedvarende udfordringer, som dem, der forsvarer sig mod sådanne trusler, står over for.
Denne veludviklede og effektive malware, kendt for sin vedholdenhed, har genvundet popularitet og viser sin modstandsdygtighed over for modgang.
Ny indsigt i Qakbot trojanske virus er kommet frem fra en nylig rapport fra Zscaler Inc.s trussellaboratorier. Efter at have været aktiv siden 2007, har Qakbot specialiseret sig i at stjæle bankoplysninger globalt. Malwaren, der skiftevis kaldes QBot eller Pinkslipbot af forskellige forskere, skiller sig ud for sin tilpasningsevne til skiftende trusselslandskaber. Dens modus operandi starter normalt med en phishing-tillokkelse og kulminerer i enten et ransomware-angreb eller erhvervelse af stjålne bankdata.
Microsoft deaktiverer Office-makroer
I januar foretog Microsoft et bemærkelsesværdigt skridt ved som standard at deaktivere Office-makroer. Dette markerede et vigtigt skridt i betragtning af den langvarige udfordring, som makroer fyldt med malware udgør. Som svar gik Qakbot over til brugen af korrupte OneNote-filer til at infiltrere personlige computere.
Denne switch viste sig effektiv, da OneNote er et velkendt cloud-lager, der ofte bruges til legitime formål. Over tid har Qakbot brugt en række infektionsvektorer ved at anvende strategier såsom at ændre filnavne og formater, mens du bruger forskellige teknikker til at skjule dets aktiviteter.
Zscalers rapport
Zscaler-rapporten afgrænser tre forskellige casestudier, der spænder over marts, april og maj 2023. I marts gik Qakbot over fra at udnytte OneNote-filer til at bruge kontaminerede PDF- og HTML-filer. Disse filer skjulte ondsindet JavaScript-kode. Efterfølgende, i april, valgte Qakbots skabere en mere skjult tilgang, idet de brugte Windows Script-filformatet til at skjule et kodet XML-script, der er ansvarligt for at downloade malwarens faktiske nyttelast. May oplevede en yderligere stigning i sofistikering, hvor malwaren brugte proprietære kommandolinjeværktøjer til at undgå opdagelse af anti-malware-scannere.
Malwarens sofistikering strækker sig til at identificere dens tilstedeværelse i et Microsoft Defender-sandbox-miljø. Efter opdagelse afslutter Qakbot hurtigt sig selv, hvilket demonstrerer en klar hensigt om at undgå opdagelse. Oplysningerne i rapporten er hentet fra prøver indsamlet fra Zscaler-kundenetværk, der giver indsigt i malwarens unddragelsestaktik og de mere aktive placeringer af dens kommando-og-kontrolservere.
Toppen af Qakbot-aktivitet dukkede op i juni, hvilket bekræfter resultater fra Lumen Technologies, som beskriver, hvordan malwaren, når den først er etableret på en brugers pc, forvandler maskinen til en kommando-og-kontrol-server for sit netværk. Navnlig udviser disse servere hurtig omsætning, hvilket gør malwarens handlinger mere uhåndgribelige at spore.
I kølvandet på denne udvikling har Cymru udført en analyse af Qakbots kommando-og-kontrol-infrastruktur, afsløret nye afsløringer om servernes placeringer og afsløret beviser for nye serverforekomster, der er etableret efter afmatningen i juni.
I lyset af disse vedvarende udfordringer advokerer Zscaler for urokkelig årvågenhed og indførelse af bedste praksis. Dette omfatter implementering af sikkerhedsforsvar i flere lag og levering af sikkerhedsbevidsthedstræning. Det er afgørende, at organisationer sikre, at brugerne forstår, at den blotte brug af OneNote i en vedhæftet fil ikke garanterer dens legitimitet.
Commentaires