Trojan Qbot krade e-maily a zneužívá je k dalším útokům
Výzkumný tým společnosti Check Point Software Technologies odhalil novou, vylepšenou verzi nebezpečného trojského koně Qbot, který krade informace a masivně se šíří po celém světě a napadá organizace i jednotlivce. Qbot byl poprvé detekován v roce 2008 a mimo jiné shromažďuje data o online aktivitách a finanční informace, včetně podrobností o online bankovnictví.
Výzkumný tým společnosti Check Point Software Technologies odhalil novou, vylepšenou verzi nebezpečného trojského koně Qbot, který krade informace a masivně se šíří po celém světě a napadá organizace i jednotlivce. Qbot byl poprvé detekován v roce 2008 a mimo jiné shromažďuje data o online aktivitách a finanční informace, včetně podrobností o online bankovnictví.
Check Point v posledních měsících objevil několik kampaní, které využívají novou verzi trojanu Qbot. V jedné z kampaní byl Qbot šířen bankovním trojanem Emotet, který dokáže krást data odposloucháváním síťového provozu, což ukazuje na novou techniku distribuce malwaru Qbot. Qbot je nyní multifunkční, a proto ještě nebezpečnější. Umí například:
- Krást informace. Krade informace z infikovaných počítačů, včetně hesel, e-mailů, údajů o kreditních kartách atd.
- Instalovat ransomware. Instaluje na napadených počítačích další škodlivé kódy, včetně ransomwaru.
- Provádět neoprávněné bankovní transakce. Útočníci se mohou připojit k počítači oběti (i když je postižený přihlášen) a provádět bankovní transakce z IP adresy oběti.
Infekční řetězec začíná zasláním speciálně vytvořených e-mailů vytipovaným organizacím nebo jednotlivcům. Každý e-mail obsahuje odkaz na soubor ZIP se škodlivým VBS (Visual Basic Script) souborem, který obsahuje kód spustitelný v systému Windows.
Jakmile je počítač infikován, Qbot aktivuje speciální „modul pro sběr e-mailů", který extrahuje všechna e‑mailová vlákna z Outlooku oběti a nahraje je na vzdálený server. Ukradené e-maily jsou pak využívány pro budoucí malspamové kampaně, což umožňuje jednoduše nalákat uživatele, aby klikli na infikované přílohy, protože se zdá, že spam navazuje na stávající legitimní e-mailovou konverzaci. Check Point zaznamenal příklady, kdy ukradené e-maily byly použity k cíleným útokům a zneužívaly témata jako COVID-19, připomenutí plateb daní nebo nábor nových zaměstnanců.
„Náš výzkum ukazuje, že i starší malware lze oprášit a vylepšit novými funkcemi a udělat z něj znovu nebezpečnou hrozbu. Útočníci, kteří stojí za Qbotem, výrazně investují do vývoje, aby stvořili globální hrozbu pro organizace i jednotlivce. Viděli jsme aktivní malspamové kampaně i využití infekčních infrastruktur třetích stran, jako je Emotet. Každopádně doufáme, že naše analýza pomůže Qbot zastavit. Ale je potřeba dávat neustále pozor a pečlivě hodnotit každý e-mail, jestli se nemůže jednat o phishingový útok," říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.
Jak se mohou organizace i jednotlivci chránit před podobnými phishingových útoky?
Check Point doporučuje dodržovat následující postupy:
1. Zabezpečte svou e-mailovou komunikaci. Kyberzločinci pro útoky na organizace stále nejčastěji využívají e-maily. Phishingové zprávy se snaží ukrást přihlašovací údaje nebo oběť přimět ke kliknutí na škodlivý odkaz/soubor. Organizace musí vždy využívat řešení pro zabezpečení e-mailů, které automaticky zabrání podobným útokům.
2. Buďte obezřetní. Dávejte si pozor na e-maily, které obsahují neznámé přílohy nebo neobvyklé žádosti, i když se zdá, že pochází z důvěryhodných zdrojů. Před kliknutím na odkaz nebo přílohu vždy raději znovu ověřte, že je e-mail opravdu od známého odesílate.
3. Vzdělávejte zaměstnance. Velmi důležité je průběžně vzdělávat zaměstnance a informovat je o nových hrozbách.
4. Dvakrát měř, jednou řež. Při zpracování bankovních převodů je potřeba si vše znovu ověřit a zavolat osobě nebo organizaci, která požádala o převod a je příjemcem financí.
5. Informujte obchodní partnery. Pokud ve vaší organizaci zjistíte narušení bezpečnosti, nezapomeňte také informovat všechny své obchodní partnery. Jakékoli prodlevy ve sdílení informací hrají ve prospěch útočníků.
Hlavním cílem útoků malwaru Qbot byly zatím Spojené státy (téměř 29 % všech detekovaných útoků). 7 % útoků bylo shodně na Indii, Izrael a Itálii. Útoky se zaměřují na organizace i jednotlivce a cílem je shromáždit co nejvíce citlivých údajů.
Zveřejněno: 02. 09. 2020
