Windows cihazlarınıza sızmak için QBot kötü amaçlı yazılımını PDF’ler ve Windows Komut Dosyaları (WSF) aracılığıyla dağıtan en son kimlik avı kampanyalarına dikkat edin.
Qbot (diğer adıyla QakBot, QuackBot ve Pinkslipbot), bir zamanlar bankacılık truva atı olan sinsi bir siber tehdittir. Yine de, diğer kötü niyetli aktörlerin kurumsal ağlara girmesi için kapılar açan bir kötü amaçlı yazılım haline geldi.
Qbot, aşağıdakiler gibi tehlikeli yükleri bırakarak ilk erişimi sağlar: –
Sonuç olarak, ele geçirilen cihaz diğer tehdit aktörleri tarafından erişilebilir hale gelir.
Qbot bir giriş noktası oluşturduğunda, diğer siber suçlular ağa yayılabilir, gizli bilgileri çalabilir ve şantaj olarak fidye yazılımı dağıtabilir.
İstatistiksel analiz
Kötü amaçlı PDF ekleri ilk olarak 4 Nisan akşamı alındı, ardından ertesi gün saat 12:00’de başlayıp saat 21:00’e kadar devam eden ve yaklaşık 1.000 mektup tespit edilen toplu bir e-posta kampanyası izledi.
6 Nisan’da 1.500’den fazla mektubun gönderilmesi ve sonraki birkaç gün içinde daha fazla mesajla başka bir artış meydana geldi.
12 Nisan akşamı 2.000 mektup daha gönderildi ve ardından siber suç faaliyetleri azaldı, ancak kullanıcılar yine de sahte mesajlar aldı.
Enfeksiyon Zinciri
Securelist araştırmacıları tarafından, virüsün çeşitli dillerde oluşturulmuş e-postalar yoluyla yayıldığı ve çeşitli sürümlerin sürekli olarak şu dillerde göründüğü gözlemlenmiştir:-
- İngilizce
- Almanca
- İtalyan
- Fransızca
Bilgisayar korsanları, mesajlarını ekleyerek e-posta zincirine sızmalarına izin veren gerçek iş mektuplarını ele geçirdi.
Tipik olarak mektuplar, alıcıyı ikna edici bir bahane kullanarak bir PDF ekini açmaya teşvik ederdi.
Sahte iş e-postaları kullanmak, spam tespitini engelleyebilir ve kurbanların dolandırıcılığın tuzağına düşme şansını artırabilir.
Saldırganlar, özgünlük duygusu yaratmak için ‘Kimden’ alanında bir önceki mektubu gönderen kişinin adını kullandı.
Ancak, gönderen tarafından kullanılan sahte e-posta adresi, gerçek yazışmadan farklı olacaktır. 2007’den beri, bankacılık Truva Atı QBot piyasada.
O zamandan beri çeşitli değişiklikler ve iyileştirmeler yapıldı ve şu anda İnternet’te yayılan en aktif kötü amaçlı yazılımlardan biri haline geldi.
PDF eki, bir Office 365 veya Azure bildirimi kılığına girerek kullanıcıyı ekteki dosyaları görüntülemek için ‘Aç’ı tıklatmaya teşvik eder.
Kullanıcı takip ettikten sonra, uzak bir sunucudan güvenliği ihlal edilmiş olabilecek bir arşiv alacak.
Arşiv, orijinal PDF dosyasında sağlanan parola kullanılarak güvence altına alınacaktır.
İndirilen arşivde, JScript ile yazılmış gizlenmiş bir komut dosyası içeren .wsf adlı bir dosya vardır.
QBot kötü amaçlı yazılım dağıtım kampanyası, kurbanın bilgisayarında bir PowerShell komut dosyası çalıştırmayı amaçlayan, yoğun şekilde gizlenmiş bir WSF dosyası kullanır.
PowerShell betiği, bir URL listesinden bir DLL indirmeye çalışır ve WSF dosyası bu PowerShell betiğini yürütür.
QBot DLL, yüklenip çalıştırıldığında PING komutunu çalıştırarak internet bağlantısı olup olmadığını kontrol eder.
Kötü amaçlı yazılım indirildikten sonra, arka planda fark edilmeden çalışan yasal Windows wermgr.exe programına kendini yerleştirir.
QBot kötü amaçlı yazılımının dağıtım yöntemlerini anlamak, enfeksiyonlar ciddi kurumsal ağ saldırılarına neden olabileceğinden çok önemlidir.
Kuruluşlar neden Birleşik uç nokta yönetimine ihtiyaç duyar?
İndirmek Ücretsiz E-kitaplar ve Teknik İncelemeler
Ayrıca Oku
QBot Kötü Amaçlı Yazılımı, Etkilenen Bilgisayarlara Yükü Dağıtmak için Windows Hesap Makinesini Kullanıyor
Bilgisayar Korsanları, Kötü Amaçlı Yazılım Dağıtmak İçin Microsoft OneNote’u Artan Bir Şekilde Kullanıyor
Rozena Arka Kapı Kötü Amaçlı Yazılımı, Windows’ta Uzak Kabuk Enjeksiyonu İçin Dosyasız Bir Saldırı Kullanıyor
Prometheus TDS – Bir Yeraltı Hizmeti Saldırıya Uğrayan Web Siteleri Yoluyla Kötü Amaçlı Yazılım Dağıtıyor