Операторы вредоносного ПО Qakbot становятся изворотливее

Операторы вредоносного ПО Qakbot становятся изворотливее

Злоумышленники с 2007 года развивают свое ПО, пытаясь избежать обнаружения.

По словам исследователей Zscaler Threatlabz Таруна Девана и Адитьи Шармы, операторы Qakbot вновь изменили свои методы для обхода систем безопасности. Злоумышленники начали использовать ZIP-архивы, заманчивые имена файлов с популярными форматами и Excel (XLM) 4.0, чтобы обманом заставить жертв загрузить файлы с вредоносом внутри.

Кроме этого, хакеры значительно усложнили код, добавили новые уровни в цепочку атак, начали использовать несколько URL-адресов и неизвестные расширения файлов (.OCX, .ooccxx, .dat, .gyp) для развертывания полезной нагрузки.

Специалисты также отметили, что операторы Qakbot в мае перешли с макросов XLM на файлы .LNK, тем самым пытаясь противостоять блокировке макросов Office. Еще у хакеров нашлось несколько интересных модификаций, которые включают в себя:

  • Использование PowerShell для загрузки DLL вредоносного ПО;

  • Переход с regsvr32.exe на rundlll32.exe для развертывания полезной нагрузки.

Специалисты назвали эти модификации явным признаком развития Qakbot. Они считают, что таким образом злоумышленники пытаются обойти обновленные методы безопасности и средства защиты.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!