Wiadomości z Niemiec – Trojan bankowy znów atakuje. Badacze bezpieczeństwa ostrzegają przed nową wersją trojana bankowego. Jest on klasyfikowany jako szczególnie niebezpieczny i odporny na zabezpieczenia.
Sprawdź: Bank likwiduje konta bankowe, nawet bez zgody klientów
Chociaż Microsoft poczynił znaczne postępy w walce ze złośliwym oprogramowaniem i zapobieganiu jego dewastacji w ostatnich latach, w tym w niedawnym zakazie umieszczania makr w plikach pakietu Office pobranych z sieci, cyberprzestępcy zawsze znajdują sposób. Niesławne złośliwe oprogramowanie Qbot ewoluowało, aby skutecznie przeciwdziałać najnowszej taktyce Microsoftu.
Według badania przeprowadzonego przez Black Lotus Labs, złośliwe oprogramowanie Qbot, które powstało jako trojan bankowy ponad dziesięć lat temu, szybko dostosowało swoją sieć dystrybucji, metody dostarczania oraz serwery dowodzenia i kontroli (C2) do zmian wprowadzonych przez Microsoft. Ponadto atakujący wprowadzili również nowe techniki wstępnego dostępu w kampaniach phishingowych, takie jak wykorzystanie złośliwych plików OneNote, omijanie znaków internetowych i przemycanie HTML.
„Qakbot wykazał się odpornością, stosując pomysłowe podejście do budowania i ewoluowania swojej architektury… wykazuje się wiedzą techniczną, stosując wiele metod początkowego dostępu i utrzymując solidną, ale unikalną architekturę C2” – czytamy w raporcie.
>>> Znana sieć komórkowa rozwiązuje tysiące umów. Nawet z tymi, którzy regularnie opłacają rachunki
Złośliwe oprogramowanie Qbot lepiej dostosowuje się do postępów Microsoftu
Oprócz nowych metod wdrażania, operatorzy Qbota zmodyfikowali również zarządzanie serwerami C2. Zamiast polegać na hostowanych wirtualnych serwerach prywatnych (VPS), atakujący ukrywają teraz serwery C2 na skompromitowanych serwerach internetowych i hostach w przestrzeniach adresowych prywatnych (residential IP). Chociaż takie podejście powoduje, że serwery mają krótszą żywotność, hakerzy mogą szybko uzyskać nowe serwery.
Podczas cyklu spamowego, każdego tygodnia powstaje około 90 nowych serwerów C2.
Ponadto konwersja botów na serwery C2 ma kluczowe znaczenie dla działania Qbota. Wynika to z faktu, że ponad 25% tych serwerów jest aktywnych tylko przez jeden dzień, a połowa nie przetrwa dłużej niż tydzień.
Dlatego też przekonwertowane boty odgrywają ważną rolę w odświeżaniu populacji serwerów C2.
Co gorsza, według raportu złośliwe oprogramowanie będzie nadal stanowić poważne zagrożenie w dającej się przewidzieć przyszłości. „Obecnie nic nie wskazuje na to, że Qakbot zwalnia”.
Czytaj także: Atak hakerski na bank. Klienci nie mają dostępu do swoich kont, tysiące pracowników odesłano do domu
Źródło: Chip.de, PolskiObserwator.de