Qakbot kötü amaçlı yazılımının arkasındaki operatörler, tespitten kaçınmak için dağıtım vektörlerini dönüştürüyor.
Zscaler Threatlabz araştırmacıları Tarun Dewan ve “Son zamanlarda tehdit aktörleri, kurbanları Qakbot’u yükleyen kötü amaçlı ekleri indirmeleri için kandırmak için ZIP dosya uzantılarını kullanarak, dosya adlarını ortak formatlarla cezbederek ve Excel (XLM) 4.0’ı kullanarak tespit edilmekten kaçınmak için tekniklerini dönüştürdüler.” Aditya Sharma söz konusu.
Grup tarafından benimsenen diğer yöntemler arasında kod gizleme, ilk güvenlik açığından yürütmeye kadar saldırı zincirine yeni katmanlar ekleme ve birden çok URL’nin yanı sıra bilinmeyen dosya uzantılarının (örn., .OCX, .ooccxx, .dat veya .gyp) kullanılması yer alır. yükü teslim edin.
QBot, QuackBot veya Pinkslipbot olarak da adlandırılan Qakbot, yinelenen tehdit 2007’nin sonlarından bu yana, bankacılık truva atı olarak ilk günlerinden, aşağıdakiler gibi sonraki aşama yüklerini dağıtabilen modüler bir bilgi hırsızına dönüşüyor. fidye yazılımı.
Fortinet, “Qakbot, tespitleri en aza indirmek için tasarlanmış çeşitli savunma kaçırma teknikleri katmanlarını içeren esnek bir sömürü sonrası araçtır.” ifşa Aralık 2021’de.
“Qakbot’un modüler tasarımı ve geleneksel imza tabanlı algılama karşısında kötü şöhretli esnekliği, onu finansal olarak motive olmuş birçok grup (siber suçlular) için arzu edilen bir ilk tercih haline getiriyor.”
Kötü amaçlı yazılımın 2022 başlarında XLM makrolarından Mayıs ayında .LNK dosyalarına geçiş taktikleri, Microsoft’un Nisan 2022’de Office makrolarını varsayılan olarak engelleme planlarına karşı bir girişim olarak görülüyor. geçici olarak geri alındı.
Buna ek olarak, diğer değişiklikler arasında DLL kötü amaçlı yazılımını indirmek için PowerShell kullanımı ve yükü yüklemek için regsvr32.exe’den rundlll32.exe’ye geçiş yer alıyor. savunmalar.”