Код-мутант: троян QBot восстал с новыми функциями обхода защиты

Троян QBot (Qakbot, Pinkslipbot) снова привлекает внимание специалистов. Вредоносный инструмент, активно функционирующий с 2007 года, остаётся одним из самых стойких примеров банковских троянов, который эволюционировал в мощную платформу для атак.

В августе 2024 года правоохранительные органы провели масштабную операцию по пресечению деятельности операторов QBot. Теперь компания ZScaler обнаружила связь между функциями QBot и другими угрозами , включая вредоносное ПО Zloader, которое использует DNS-туннелирование для скрытой передачи данных.

В ходе анализа вредоносных файлов исследователи выявили интересные детали. Один из обнаруженных образцов, содержащий архив «pack.dat», включал несколько подозрительных компонентов, в том числе exe- и dll-файлы, которые работают совместно для расшифровки скрытого PE-файла, который запускает дальнейшую вредоносную активность. Используемый алгоритм шифрования RC4 указывает на высокий уровень продуманности киберпреступников.

Исследование подтвердило, что QBot эволюционировал, внедрив новую модульную структуру, которая позволяет использовать троян в качестве платформы для запуска других вредоносных модулей. Например, новый модуль BackConnect был разработан для отслеживания процессов и передачи информации о зараженных системах через зашифрованные каналы. Специалисты выявили, что модуль использует низкоуровневые функции для контроля процессов и обращения к реестру Windows, а также для обхода стандартных защитных механизмов и анализа работы системы.

Дальнейший мониторинг показал, что активность QBot связана с кампанией по распространению программы-вымогателя BlackBasta. Современные тактики, такие как Sideloading, позволяют преступникам развивать атаки и эффективно обходить традиционные методы защиты. Исследователи предупреждают, что такие методы могут быть использованы для дальнейших атак с применением шифровальщиков.

Для противодействия угрозе ZScaler опубликовали YARA-правила, позволяющие идентифицировать новые версии вредоносного ПО. Однако эффективность мер зависит от скорости их внедрения в системы защиты.