十年后,Qbot 木马恶意软件获得了新的危险技巧

Qbot的新功能包括在合法电子邮件线程中插入恶意软件以传播恶意软件。

特洛伊木马恶意软件病毒由v graphix getty编写
v-graphix /盖蒂图片社

十多年来,Qbot木马一直困扰着计算机用户和企业,其背后的网络犯罪分子仍在提出新的技巧,使之成为最流行和成功的工具之一。 恶意软件 威胁。安全研究人员观察到的最新技术涉及将恶意软件插入其受害者的合法电子邮件线程中以进行传播。

Qbot,也称为Qakbot或Pinkslipbot,最初是银行业务 木马 专注于窃取网上银行凭证,但此后演变为“瑞士军刀”,可用于多种目的,包括分发 勒索软件据安全公司Check Point Software Technologies的研究人员跟踪了该恶意软件的最新活动。

上个月底,另一个名为Qbot的特洛伊木马开始发行新的Qbot变体。 表情包 作为影响全球许多组织的新垃圾邮件运动的一部分。该新变体具有新功能和新的命令与控制基础结构。本月初又进行了新的Qbot发行活动。

“ Qbot的一项新技巧特别令人讨厌,因为一台计算机被感染后,它会激活一个特殊的'电子邮件收集器模块',该模块将从受害人的Outlook客户端中提取所有电子邮件线程,并将其上传到硬编码的远程服务器上。”研究人员在 新报告。 “这些被盗的电子邮件随后被用于未来的垃圾邮件运动,这使用户更容易被诱骗点击受感染的附件,因为垃圾邮件似乎继续了现有的合法电子邮件对话。”

该公司已经发现了被劫持的电子邮件线程,Qbot在其中插入了与COVID-19大流行,税务提醒和招聘相关的主题。新竞选活动针对的组织中有三分之一来自美国,但来自欧洲的组织也受到了严重影响。最具针对性的行业是政府,军事,制造业,保险,法律,医疗保健和银行业。

Qbot如何传播

Qbot感染链不是很复杂,自4月以来已经发生了变化。过去,发送Qbot的垃圾邮件使用带有宏的恶意文档,但是现在,它们包含指向.zip文件的URL,该文件中包含用VBScript(VBS)编写的下载脚本。这些类型的脚本曾经在Internet Explorer的上下文中在Windows上本地执行,因为它是Microsoft开发的脚本语言,但是它 自去年以来已弃用 被攻击者滥用多年后。但是,攻击者知道,许多企业仍使用缺少最新安全功能和更新的Windows和Internet Explorer的旧版本。

Qbot使用的VBS下载器具有检测虚拟机和分析沙箱并从六个硬编码URL中提取.exe有效负载的例程。如果有效负载成功执行,它将在计算机上部署Qbot恶意软件。

Qbot分发链中最值得注意和最新的部分是电子邮件线程劫持,这增加了垃圾邮件的可信度。 Check Point提供的示例包括一个有关COVID-19期间业务连续性的电子邮件线程,许多组织可能会对此话题感兴趣。另一个是对通过电子邮件发送的招聘信息的回复,该招聘信息寻求具有C#,Java和PowerShell经验的开发人员。流氓电子邮件中的URL指向托管在被黑WordPress网站上的.zip文件。

Qbot的模块化架构 

Qbot恶意软件是模块化的,具有处理不同功能的单个组件。 Check Point研究人员确定的新模块包括:

  • 用于与命令和控制服务器通信并执行从其接收的命令的模块
  • 电子邮件收集器模块,用于从Outlook窃取电子邮件线程
  • 挂钩模块,用于将Web表单注入浏览会话
  • 密码窃取器模块
  • 一个VNC插件,允许攻击者打开与受害者计算机的远程桌面连接
  • Cookie抓取程序模块,可从浏览器窃取身份验证Cookie,然后将其用于劫持会话
  • 更新器模块
  • 代理模块

研究人员说:“一旦受害者被感染,他们的计算机就会受到威胁,而且由于Qbot的横向移动能力,它们也可能对本地网络中的其他计算机构成威胁。” “然后,恶意软件检查受害者是否还可以成为Qbot基础架构一部分的潜在机器人。”

新发现表明,Qbot仍然是危险的威胁,可能比以前更加严重。由于控制它的网络犯罪分子仍然对开发它并添加新功能和技术感兴趣,因此该木马不太可能很快消失。组织应该更加注意感染诸如Emotet或Qbot之类的机器人,因为它们被用作其他恶意软件和 通常用作勒索软件的网关 进入公司网络。

版权© 2020 IDG通讯,Inc.