Операторы QBot теперь используют OneNote для распространения трояна по электронной почте

Qbot Qakbot OneNote Microsoft Office Microsoft Office Twitter HTA HTML Sophos DLL
Операторы QBot теперь используют OneNote для распространения трояна по электронной почте
Qbot Qakbot OneNote Microsoft Office Microsoft Office Twitter HTA HTML Sophos DLL

Если вы ведёте переписку, будьте готовы, что ваш собеседник вдруг поделится с вами необычным вложением.

image

Специалисты ИБ-компании Sophos обнаружили новую кампанию QBot, получившую название «QakNote», которая использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном.

В новом отчете Sophos говорится, что кампания началась 31 января 2023 года и использует файлы OneNote, содержащие встроенное HTML-приложение (HTA-файл), которое извлекает полезную нагрузку вредоносного ПО QBot. Об этом переходе в дистрибутиве QBot впервые публично сообщил исследователь Cynet Макс Малютин в Twitter * 31 января 2023 года.

Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки DLL-файла Qbot в папку «C:\ProgramData», а затем выполняется с помощью «Rundll32.exe».

Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.

Sophos сообщает, что операторы QBot используют 2 метода распространения HTA-файлов: первый — отправка электронных писем со встроенной ссылкой на заражённый файл «.one», а второй — метод «внедрения потоков».

Техника внедрения потоков представляет собой процесс, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» всем участникам потока, прикладывая к письму вредоносный файл OneNote в качестве вложения.

Чтобы сделать эти атаки еще более обманчивыми для жертв, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака, но при нажатии вместо этого запускает встроенное HTA-вложение. Хотя после нажатия на кнопку пользователю отобразится предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.

Поддельная кнопка в файле

В качестве защиты от этого нового вектора атаки Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением «.one», поскольку они обычно не отправляются в виде вложений.

*Социальная сеть Twitter запрещена на территории РФ.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!