Банковский троян Qbot теперь может собирать почтовую переписку в Outlook

Банковский троян Qbot теперь может собирать почтовую переписку в Outlook

Qbot также способен управлять компьютером жертвы через удаленное VNC-подключение и собирать устройства в ботнет.

Арсенал печально известого банковского трояна Qbot пополнился новым функционалом для более эффективных атак на организации в правительственной, военной и промышленной сферах в США и странах Европы.

В частности, в рамках анализа недавних атак с использованием вредоноса Qbot специалисты компании Check Point обнаружили новую версию трояна, способную скрыто собирать электронную переписку жертвы в почтовом клиенте Outlook и использовать ее в дальнейших спам-кампаниях.

Впервые вредоносная программа Qbot (она же QuakBot, QakBot или Pinkslipbot) засветился на радарах ИБ-экспертов в 2008 году. Со временем вредонос эволюционировал из простого инфостилера в многофункциональный троян, способный распространять другие виды вредоносного ПО и даже удаленно подключаться к целевой Windows-системе для осуществления банковских транзакций с IP-адреса жертвы. Как правило, заражение Qbot осуществляется с сайтов, куда жертв заманивают с помощью техник фишинга.

Что касается новой вредоносной кампании, первый этап включает распространение целевых фишинговых писем (на тему COVID-19, уплаты налогов или предложений о найме на работу ), содержащих архив с вредоносным VBS-скриптом, который загружает дополнительные вредоносные модули, отвечающие за соединение с управляющим сервером и выполнение полученных команд.

Для придания большей достоверности фишинговым письмам злоумышленники включают в них архивную почтовую переписку между двумя сторонами. Для этого они загодя собирают переписку с помощью модуля для сбора электронных писем, который извлекает цепочки легитимных электронных писем из установленного на устройстве жертвы приложения Outlook и загружает их на удаленный сервер.

Помимо вышеуказанного функционала, Qbot способен управлять компьютером жертвы через удаленное VNC-подключение (за это отвечает hVNC плагин), а также собирать зараженные устройства в ботнет с помощью прокси-модуля.

По словам экспертов, с начала года разработчики выпустили 15 версий трояна, самая свежая из них датируется 7 августа.


Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!