Qakbot, öncelikle finansal kurumları hedef alan gelişmiş bir bankacılık truva atı ve kötü amaçlı yazılımdır. Bu gelişmiş kötü amaçlı yazılım, aşağıdakiler gibi hassas bilgileri çalar: –
- Giriş kimlik
- Finansal Veri
Bilgisayar korsanları Qakbot’u kullanarak şunları gerçekleştirirken: –
- Finansal dolandırıcılık
- Yetkisiz işlemler
- Kişisel verilere erişim kazanın
- Finansal bilgilere erişim kazanın
Qakbot kötü amaçlı yazılımı “Ördek Avı” baskınından sonra geri dönüyor. Sadece bu da değil, Microsoft bile 11 Aralık 2023’ten bu yana konaklama sektörünü hedef alan küçük ölçekli kimlik avı saldırıları tespit etti.
Tüm bu kimlik avı e-postalarının sayısı şu anda düşük olmasına rağmen, K7 Güvenlik Laboratuvarları’ndaki araştırmacılar, Qakbot’un geçmişi nedeniyle e-posta hacminde bir artış beklendiğini doğruladı.
K7 Güvenlik Laboratuarlarındaki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Quakbot kötü amaçlı yazılımlarını yaymak için silah haline getirilmiş PDF dosyalarını kullandığını keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Qakbot Kötü Amaçlı Yazılım Sağlayacak PDF Dosyaları
Yakın zamanda yapılan bir kimlik avı kampanyasında araştırmacılar, tehdit aktörlerinin PDF’ler aracılığıyla aktif olarak kötü amaçlı MSI dosyaları dağıttığını tespit etti. Ayrıca analiz, özel bir paketleyici kullandığı tespit edilen Qakbot’u barındıran yamalı bir IDM DLL’yi ortaya çıkarıyor.
Bunun yanı sıra, Qakbot DLL paketinin açılması aşağıdaki konularda kesme noktaları içerir: –
- VirtualAlloc()
- VirtualProtect()
Başlangıçta uzmanlar dökümü MZ başlığı olmadan elde etti ve daha sonra başlığı manuel olarak ekleyerek bunun Qakbot’un ikinci aşama yükleyicisi olduğunu belirlediler. Bu teknik, tehdit aktörlerinin MZ başlık taramalarından kaçınarak EDR tespitinden kaçınmasına yardımcı olur.
Yeni Qakbot kampanyasında güvenlik araştırmacıları, kurban bilgilerinin depolanması için AES şifrelemesinin bulunduğunu, ancak son yükün RC4 şifrelemesini koruduğunu belirtti. Dinamik analiz, rundll32.exe’yi çağıran, MSI tarafından yüklenen bir geçici dosyayı gizlice ortaya çıkarır.
PDF’lerden yararlanan tehdit aktörü, DLL dosyasını AcrobatAC.dll olarak kendisi kopyalar ve ardından Qakbot’u EditOwnerInfo aracılığıyla çalıştırır.
Kötü amaçlı DLL, öldürme zincirinin bir parçası olarak wermgr.exe’yi (Windows Hata Yöneticisi) askıya alır. Bunun yanı sıra uzmanlar, PE dosyasını askıya alınmış wermgr.exe’den atarak Qakbot yükünü de çıkardı, bu da süreç boşaltmanın kullanıldığını ortaya koyuyor.
Qakbot, wermgr.exe gibi davranarak gizli bir C2 bağlantısı kurmaya çalışır, ancak analiz sırasında aktif olmayan C2, daha sonraki kötü niyetli eylemleri durdurur.
IoC’ler
Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin