Новые атаки QBot на электронную почту используют комбинацию PDF и WSF для установки вредоносного ПО

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 18 Apr 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    971
    Likes Received:
    2,343
    Reputations:
    25
    Вредоносная программа QBot теперь распространяется в рамках фишинговых кампаний, использующих PDF-файлы и файлы сценариев Windows (WSF) для заражения устройств Windows.
    [​IMG]
    Qbot (он же QakBot) - бывший банковский троян, который превратился в вредоносное ПО, предоставляющее первоначальный доступ к корпоративным сетям другим субъектам угрозы. Этот первоначальный доступ осуществляется при помощи дополнительной полезной нагрузки, такой как Cobalt Strike, Brute Ratel и других вредоносных программ, которые позволяют другим субъектам угрозы получить доступ к скомпрометированному устройству.

    Используя этот доступ, субъекты угрозы распространяются по сети, похищая данные и в конечном итоге внедряя программы-вымогатели в целях вымогательства.

    Начиная с этого месяца, исследователь безопасности ProxyLife и группа Cryptolaemus ведут хронику использования Qbot нового метода рассылки по электронной почте — PDF-вложений, которые загружают файлы сценариев Windows для установки Qbot на устройства жертвы.

    Все начинается с электронного письма

    В настоящее время QBot распространяется через фишинговые электронные письма с цепочкой ответов, когда субъекты угроз используют украденные легальные истории переписки по электронной почте, а затем отвечают на них ссылками на вредоносное ПО или вредоносные вложения.

    Использование электронных писем с цепочкой ответов - это попытка сделать фишинговое письмо менее подозрительным, поскольку оно является ответом на продолжающийся разговор.

    В фишинговых письмах используются различные языки, что указывает на всемирную кампанию по распространению вредоносного ПО.
    [​IMG]
    Фишинговое письмо QBot

    К этим электронным письмам прилагается PDF-файл с именем "Письмо об отмене -[номер].pdf", который при открытии отображает сообщение, в котором говорится: "Этот документ содержит защищенные файлы, чтобы отобразить их, нажмите на кнопку "открыть"".

    Однако при нажатии на кнопку вместо этого будет загружен ZIP-файл, содержащий файл сценария Windows (wsf).
    [​IMG]
    PDF документ, содержащий файл сценария WSF

    Файл сценария Windows заканчивается расширением .wsf и может содержать смесь кода JScript и VBScript, который выполняется при двойном щелчке по файлу.

    Файл WSF, используемый в кампании по распространению вредоносного ПО QBot, сильно запутан, конечной целью которого является выполнение сценария PowerShell на компьютере.
    [​IMG]
    Содержимое файла WSF, загруженного вместе с PDF-файлом

    Сценарий PowerShell, который выполняется файлом WSF, пытается загрузить библиотеку DLL из списка URL-адресов. Каждый URL-адрес проверяется до тех пор, пока файл не будет успешно загружен в папку %TEMP% и выполнен.
    [​IMG]
    Сценарий PowerShell, содержащийся в WSF

    Когда библиотека DLL QBot будет запущена, она запустит команду PING, чтобы определить, есть ли подключение к Интернету. Затем вредоносная программа внедрится в законную Windows программу wermgr.exe (Диспетчер ошибок Windows), где она будет тихо работать в фоновом режиме.
    [​IMG]
    Вредоносная программа QBot, внедренная в памяти компьютера в Wermgr.exe процесс

    Заражение вредоносным ПО QBot может привести к разрушительным атакам на корпоративные сети, поэтому крайне важно понять, как распространяется вредоносное ПО.

    Филиалы программ-вымогателей, связанные с несколькими операциями "Программа-вымогатель как услуга" (RaaS), включая Blockbasta, REvil, PwndLocker, Egregor, ProLock и MegaCortex, использовали Qbot для первоначального доступа к корпоративным сетям.

    Исследователи из The FOUR Reports показали, что QBot требуется всего около 30 минут, чтобы украсть конфиденциальные данные после первоначального заражения. Хуже того, вредоносной активности требуется всего час, чтобы распространиться на соседние рабочие станции.

    Поэтому, если устройство заражено и тем, и другим, крайне важно как можно скорее перевести систему в автономный режим и выполнить полную оценку сети на предмет необычного поведения.

     
Loading...