Qbot,也被称为Qakbot或QuakBot,是一款早在第一代iPhone之前就对Windows用户构成威胁的老软件,但它仍在不断改进,以提高效率。
这种恶意软件出现于2007年,在这个以服务为主导的勒索软件世界里几乎成了古董,但根据网络安全机构DFIR对其研究人员10月份发现的样本的分析,这种恶意软件仍然灵活高效。
Qbot以通过钓鱼邮件和利用微软电子邮件客户端Outlook等关键应用程序的漏洞攻击Windows电脑而闻名。该恶意软件最近获得了一个模块,可以读取电子邮件线程,以提高信息对受害者的明显合法性。
SEE:网络安全:让我们获得战术(ZDNet特别报道)
该恶意软件的操作员依赖于可点击的网络钓鱼信息,包括纳税提醒、工作邀请和COVID-19警报。它可以从Chrome、Edge、电子邮件和网上银行密码中窃取数据。
DFIR的研究人员研究了一个案例,最初的访问是未知的,但很可能是通过一个受污染的微软Excel文档传递的,该文档被配置为从网页下载恶意软件,然后使用一个Windows计划任务,以获得对系统的更高级别访问。
Qbot的作者们已经学会了利用合法的微软工具来生存。在这起案件中,它利用这些工具在受害者点击Excel表格中的链接后30分钟内袭击了整个网络。
“在首次访问30分钟后,Qbot被观察到从滩头主机收集数据,包括浏览器数据和Outlook电子邮件。在感染大约50分钟后,滩头主机将Qbot dll复制到邻近的工作站,然后通过远程创建服务来执行。几分钟后,滩头主机对另一个相邻的工作站做了同样的事情,然后在我们知道之前,环境中所有的工作站都被破坏了。”
DFIR表示,该攻击影响了网络上的个人电脑,但不影响服务器。
Qbot的运营商已经将业务扩展到勒索软件。安全公司卡巴斯基报告称,在截至2021年7月的6个月里,Qbot恶意软件感染的电脑数量比去年增加了65%。微软指出,该恶意软件的模块化设计使其难以检测。
该恶意软件隐藏恶意进程,并创建计划任务,以在机器上持久化。一旦在受感染的设备上运行,它就会使用多种技术进行横向移动。
美国联邦调查局(FBI)警告称,Qbot木马被用来发布ProLock,这是一个“人工操作的勒索软件”。
