Το Qakbot είναι ένα εξελιγμένο τραπεζικό trojan και κακόβουλο λογισμικό που στοχεύει κυρίως χρηματοπιστωτικά ιδρύματα. Αυτό το εξελιγμένο κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες όπως:
- Διαπιστευτήρια σύνδεσης
- Οικονομικά στοιχεία
Οι χάκερ εκμεταλλεύονται το Qakbot για να κάνουν:
- Οικονομικές απάτες
- Μη εξουσιοδοτημένες συναλλαγές
- Να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα
- Να αποκτήσουν πρόσβαση σε οικονομικές πληροφορίες
Το κακόβουλο λογισμικό Qakbot επιστρέφει μετά το «Κυνήγι Πάπιας» τον περασμένο Αύγουστο. Πρόκειται για μία διεθνή επιχείρηση που ονομάστηκε Operation Duck Hunt, και η οποία επέτρεψε την πρόσβαση στους διακομιστές του διαχειριστή του QakBot και χαρτογράφησε την υποδομή του botnet. Ακόμη και η Microsoft εντόπισε phishing μικρής κλίμακας που είχε στόχο τις υπηρεσίες φιλοξενίας, από τις 11 Δεκεμβρίου 2023.
Αν και ο αριθμός όλων αυτών των μηνυμάτων phishing είναι πλέον σε χαμηλά επίπεδα, οι ερευνητές στο K7 Security Labs επιβεβαίωσαν ότι αναμένουν αύξηση του όγκου των email λόγω της προϊστορίας του Qakbot.
Ερευνητές κυβερνοασφάλειας στο K7 Security Labs ανακάλυψαν πρόσφατα ότι χάκερ χρησιμοποιούν τροποποιημένα αρχεία PDF για να διανείμουν το κακόβουλο λογισμικό Quakbot.
Τα αρχεία PDF
Σε μια πρόσφατη εκστρατεία ηλεκτρονικού ψαρέματος, ερευνητές εντόπισαν κακόβουλους παράγοντες που διανέμουν ενεργά κακόβουλα αρχεία MSI μέσω αρχείων PDF. Επιπλέον, η ανάλυση του κακόβουλου λογισμικού αποκάλυψε μια τροποποιημένη dll IDM που φιλοξενούσε το Qakbot, η οποία βρέθηκε να χρησιμοποιεί ένα προσαρμοσμένο πακέτο. Αυτό σημαίνει ότι το κακόβουλο λογισμικό ήταν πιο δύσκολο να εντοπιστεί από τα προγράμματα προστασίας από ιούς.
Εκτός από αυτό, η αποσυσκευασία του Qakbot DLL περιλαμβάνει σημεία διακοπής στις ακόλουθες λειτουργίες::
-
VirtualAlloc(): Αυτή η λειτουργία χρησιμοποιείται για την εκχώρηση μνήμης για τον αποθηκευμένο κώδικα. Η παρακολούθηση αυτής της λειτουργίας μπορεί να βοηθήσει τους ερευνητές να εντοπίσουν το σημείο όπου ο κωδικός αποσυμπιέζεται και εκτελείται.
-
VirtualProtect(): Αυτή η λειτουργία χρησιμοποιείται για την αλλαγή των δικαιωμάτων πρόσβασης στην εκχωρημένη μνήμη. Η παρακολούθηση αυτής της λειτουργίας μπορεί να βοηθήσει τους ερευνητές να εντοπίσουν το σημείο όπου ο κωδικός εκτελείται.
Αρχικά, οι ειδικοί απέκτησαν το dump χωρίς την κεφαλίδα MZ και αργότερα, το αναγνώρισαν ως τον φορτωτή δεύτερου σταδίου του Qakbot προσθέτοντας την κεφαλίδα χειροκίνητα. Αυτή η τεχνική βοηθά τους φορείς απειλής να αποφύγουν τον εντοπισμό EDR αποφεύγοντας τις σαρώσεις κεφαλίδων .
Το Qakbot DLL είναι ένα κακόβουλο λογισμικό που χρησιμοποιείται συχνά για την κλοπή διαπιστευτηρίων, την εξαγωγή δεδομένων και την εγκατάσταση άλλων κακόβουλων προγραμμάτων.
Στις νέες εκστρατείες του Qakbot, οι ερευνητές ασφαλείας εντόπισαν κρυπτογράφηση AES για την αποθήκευση των πληροφοριών των θυμάτων, αλλά το τελικό φορτίο διατηρεί κρυπτογράφηση RC4. Η δυναμική ανάλυση αποκαλύπτει διακριτικά ένα MSI-εγκατεστημένο προσωρινό αρχείο που εκτελεί το rundll32.exe.
Ο παράγοντας απειλής που αξιοποιεί τα PDF αντιγράφει μόνος του το DLL ως AcrobatAC.dll και στη συνέχεια εκτελεί το Qakbot μέσω του EditOwnerInfo.
Ως μέρος της αλυσίδας , η κακόβουλη DLL αναστέλλει το wermgr.exe (Windows Error Manager). Εκτός από αυτό, οι ειδικοί απέσπασαν επίσης το φορτίο Qakbot από την αποθήκευση του PE αρχείου από το ανεσταλμένο wermgr.exe, αποκαλύπτοντας τη χρήση της διαδικασίας hollowing.
Ο Qakbot προσποιείται ότι είναι wermgr.exe και προσπαθεί να δημιουργήσει μια κρυφή σύνδεση C2, αλλά ο C2 που είναι ανενεργός κατά την ανάλυση εμποδίζει περαιτέρω κακόβουλες ενέργειες.
Για να προστατευθείτε από τον Qakbot, είναι σημαντικό να λαμβάνετε τα ακόλουθα μέτρα:
- Να είστε προσεκτικοί με κακόβουλα συνημμένα ηλεκτρονικού ταχυδρομείου και κατεστραμμένους συνδέσμους.
- Να διατηρείτε τα προγράμματα προστασίας από ιούς και τα τείχη προστασίας σας ενημερωμένα.
- Να χρησιμοποιείτε ένα πρόγραμμα προστασίας από κακόβουλο λογισμικό που χρησιμοποιεί τεχνολογία ανίχνευσης συμπεριφοράς.
