banqueiro disseminador Qbot que é conhecida desde 2009 lançou outro e-mail-campanha, embora com algumas inovações.
Experts de comando para operações especiais da American JASK empresa estabeleceu que os invasores agora estão mascarando mensagens de malware usando a correspondência eletrônica existente.Hyperlink em download para o vírus Trojan para Windows inserido na resposta real no correio que já foi enviado pelo potencial vítima. De acordo com a notificação JASK, e-mail torna-se embutido no ramo existente de correspondência de e-mail. Isso permite acalmar a vigilância do alvo e contornar a proteção contra spam.
“Este e-mail não foi bloqueado por um gateway anti-spam. Foi uma resposta direcionada com reconhecimento de contexto para um segmento de e-mail existente,” escreveu Greg Longo, analista sênior de ameaças com JASK, em uma entrevista por e-mail.
Ele também acrescentou que o objetivo de tais ataques é roubar informações financeiras confidenciais, incluindo credenciais de conta de volta.
A infecção acontece pelo seguinte algoritmo. A carta de pesca chega com o link no arquivo do Microsoft OneDrive que entrega o Microsoft Visual Basic Scripting Edition (VBScript) em arquivo ZIP compactado. Se este arquivo estiver aberto, ataque inicia o utilitário legítimo do Windows BITSAdmin. este, Por sua vez, leva à ativação do Wscript.exe, que é outro utilitário do Windows usado para carregar o programa de malware Qbot «august.png» do servidor dos hackers.
Este truque foi aplicado agora para a entrega do Trojan Qbot de longa duração, também conhecido como QakBotGenericName e Pinkslipbot. Trojan especializado em roubar dados para acesso a contas bancárias ajuda os cibercriminosos por mais de 10 anos. Em sua popularidade contribui a capacidade de se reproduzir através de dispositivos de mídia compartilhados removíveis, e polimorfismo – mudança constante do código do programa que permite contornar a proteção antivírus.
Fonte: https://threatpost.com