Cyble Research Intelligence Labs (CRIL), kullanıcıların indirmeye teşvik edildiği bir OneNote eki aracılığıyla dağıtılan Qakbot kötü amaçlı yazılımını kullanan bir spam kampanyası tespit etti. Qakbot kötü amaçlı yazılımı, tarayıcılardan kullanıcı adlarını, parolaları ve çerezleri çalabilir.
OneNote’ta kötü amaçlı Qakbot içeren kampanya, mstha.exe tarafından yürütülen katıştırılmış bir .hta dosyasını bırakan kötü amaçlı bir e-posta göndererek başlar. E-posta örneğindeki konuda “OFERTA PO# 000938883 NSS” yazıyordu ve OneNote dosyası “ApplicationReject_68390(Jan31).one” olarak adlandırılıyordu.
“Lütfen ekteki belgeyi kontrol edin” e-postasını okuyun, ardından dilbilgisi açısından yanlış bir cümle, “Sizin için ilginç olur.”
OneNote’taki Qakbot kötü amaçlı yazılımı, sistemlerden e-postaları çalabilir ve kendisini ağ içindeki cihazlara yayabilir. Tehdit aktörü tarafından planlandığı gibi fidye yazılımı dağıtabilir.
OneNote’taki Qakbot kötü amaçlı yazılımının teknik ayrıntıları
OneNote eki, e-postada belirtildiği gibi çift tıklatıldıktan sonra Qakbot saldırısını tetikleyen buluttan geliyor gibi görünüyor. İlk olarak, kendisini mshta.exe kullanarak çalıştıran ‘attachment.hta’ adlı bir .hta dosyası bırakır.
.hta dosyası örneği (Resim: Cyble)
.hta dosyasında hedefin verilerini gizleyen iki JavaScript ve VBscript wach vardır.
vbscript, ‘Ad’ adlı kayıt defteri anahtarında bir dizi içi değer oluşturur. Kullandığı kayıt defteri anahtarı, çalınan verileri kopyalamak için kullanılan HKEY_CURRENT_USER\SOFTWARE\Firm\Soft’tur. JavaScript, verileri okur ve replace yöntemini kullanarak anonim bir işlev oluşturur.
JavaScript tarafından başlatılan Anonim işlev (Resim: Cyble)
Anonim işlev, ‘http://77′ URL’si gönderilerek de çağrılabilir.[.]75[.]230[.]128/19825%5B.%5Ddat’, bağımsız değişken biçiminde. Anonim işlev, curl.exe’yi çalıştırmak için bir wscript.shell nesnesi başlatır. Ardından uzak sunucudan 19825.dat dosyası indirilir ve bu dosya %Programdata% içinde 121.png olarak kaydedilir.
Bu 121.png dosyası, JavaScript’te rundll32.exe kullanılarak kendi kendini çalıştıran Qakbot DLL’sidir. Son olarak, kullanıcıya “Bu belge bozuk ve açılamadı” yazan sahte bir mesaj gösteriliyor. Bu mesaj, .hta dosyasındaki son VBscript ‘Ad’ kayıt defteri anahtarını sildikten sonra yansıtılır.
CRIL araştırmacıları, The Cyber Express ile Qakbot gelişen bir kötü amaçlı yazılım olduğundan ve kullanıcıların Torrent veya Warez’den potansiyel olarak kötü amaçlı olabilecek bağlantıları açmaması gerektiğini paylaştı.
Yöneticilerin ayrıca, verilerin dışarı sızmasını önlemek için ağdaki işaretçiyi yakından izlemeleri önerilir. Ayrıca verilerin hareketini izlemek için Veri Kaybını Önleme (DLP) çözümlerini tercih edebilirler.