Indringers hebben Trojan Qbot geleerd zich te verbergen in takken van bestaande berichtenuitwisseling

Qbot banker verspreider die sindsdien bekend is 2009 een nieuwe e-mailcampagne gelanceerd, maar met enkele innovaties.

Experts van commando voor speciale operaties van American JASK heeft vastgesteld dat indringers nu malwareberichten maskeren met behulp van bestaande elektronische correspondentie.

Hyperlink bij downloaden voor Trojan-virus voor Windows ingevoegd in echt antwoord op e-mail die al door mogelijk slachtoffer is verzonden. Volgens JASK-melding, e-mail wordt ingebouwd in de bestaande tak van e-mailcorrespondentie. Hierdoor kan de waakzaamheid van het doel worden gewekt en kan de bescherming tegen spam worden omzeild.

Greg Longo, JASK
Greg Longo, JASK

“Deze e-mail is niet geblokkeerd door een antispamgateway. Het was een contextbewuste gerichte reactie op een bestaande e-mailthread,”Schreef Greg Longo, senior dreigingsanalist bij JASK, in een op e-mail gebaseerd interview.

Hij voegde ook toe dat het doel van dergelijke aanvallen het stelen van vertrouwelijke financiële informatie is, inclusief back-accountreferenties.

Infectie gebeurt door het volgende algoritme. De visbrief komt aan met de link in het Microsoft OneDrive-bestand dat Microsoft Visual Basic Scripting Edition levert (VBScript) in gecomprimeerd ZIP-archief. Als dit archief open is, aanval start het legitieme BITSAdmin Windows-hulpprogramma. Deze, Op zijn beurt, leidt tot activering van Wscript.exe, een ander Windows-hulpprogramma dat werd gebruikt voor het uploaden van Qbot «august.png» malwareprogramma vanaf de server van hackers.

Deze truc werd nu toegepast voor de levering van de langlevende Trojan Qbot, ook gekend als QakBot En Pinkslipbot. Trojan die gespecialiseerd is in het stelen van gegevens voor toegang tot bankrekeningen, helpt cybercriminelen voor meer dan 10 jaar. In zijn populariteit draagt ​​het bij aan het vermogen om zichzelf te reproduceren via verwijderbare gedeelde media-apparaten, en polymorfisme - constante verandering van programmacode die het omzeilen van antivirusbescherming mogelijk maakt.

Ondanks dat Trojaans virus Qbot is relatief goed bestudeerd, specialisten kunnen de verspreiding sindsdien niet blokkeren 2009. Om te voorkomen dat u dit virus oploopt, u moet voorzichtig zijn bij het openen van e-mails, zelfs vanaf een adres dat u vertrouwt.

Bron: https://threatpost.com

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop