QBot, bir yanıt zinciri kimlik avı e-postası, sahte bir PDF ve muhtemelen bir fidye yazılımı bulaşması vaadini içeren yeni bir taktikle yeniden ortaya çıktı.
Kötü amaçlı yazılım avcısı Proxylife tarafından yapılan son keşiflere göre, bilgi hırsızından dönüştürülmüş ve suç çetelerine kötü amaçlı kampanyalarında yardımcı olan QBot, artık PDF’ler ve Windows Komut Dosyaları (WSF) kullanan bir kimlik avı kampanyasının parçası olarak dağıtılıyor (@pr0xylife) ve Cryptolaemus grubu (@Cryptolaemus1).
QBot’un (namı diğer QakBot) çalışma biçimini en son Kasım ayında değiştirdiği zaman. Kampanya operatörleri, QBot’u yürüten bir JavaScript’i (JS) çalıştırmak için bir Mark of the Web (MotW) sıfır gün kusurundan başarıyla yararlanmak için Magniber’in başucu kitabından taktikler benimsedi.
En son QBot kimlik avı kampanyası aşağıdaki şemada basitçe gösterilmektedir:
Resimli QBot kampanyası (Kaynak: Jerome Segura | Malwarebytes Labs)
Saldırı, tehdit aktörleri bir e-posta zincirini kötü niyetli bir bağlantı veya ek ile yanıtladığında, bir yanıt zinciri kimlik avı e-postasıyla başlar. BleepingComputer, bu kimlik avı e-postalarının çeşitli diller kullandığını fark etti. Bu, böyle bir saldırıda dil engelinin olmadığı anlamına gelir, bu nedenle dünyanın herhangi bir yerindeki herhangi bir işletme etkilenebilir.
İptal mektubu kılığına girmiş bir PDF eki taşıyan, Fransızca bir örnek yanıt zinciri kimlik avı e-postası. (Kaynak: BleepingComputer)
E-posta zincirindeki biri ekli PDF’yi açtığında, “Bu belge korumalı dosyalar içeriyor, onları görüntülemek için ‘aç’ düğmesine tıklayın” şeklinde bir mesaj görürler. Düğmeye tıklamak, WSF komut dosyasını içeren bir ZIP dosyasını indirir.
Ağır biçimde gizlenmiş betik, çalıştırıldığında bir PowerShell’i tetikleyen ve ardından sabit kodlanmış URL’ler listesinden QBot DLL’yi indiren JS ve VBScript kodunun bir karışımını içerir. Bu betik, Windows Temp klasörüne (%TEMP%) bir dosya indirilene ve yürütülene kadar her URL’yi dener.
QBot çalıştığında, internet bağlantısını kontrol etmek için bir PING komutu verir. Daha sonra içine enjekte eder wermgr.exearka planda sessizce çalışmak için meşru bir Windows Hata Yöneticisi programı.
QBot’un hizmet olarak fidye yazılımı (RaaS) tekliflerinin operatörleri tarafından kullanıldığı söylendiğinden, şirket sistemlerinde bulunması felaket olabilir. Bu nedenle, herhangi bir kuruluş, QBot bulaşmış sistemlerini mümkün olan en kısa sürede çevrimdışı duruma getirmeli ve olağandışı davranışlar için ağ günlüklerini kapsamlı bir şekilde taramalı ve incelemelidir.
Şubat 2022’deki DFIR Raporu, QBot’un güvenliği ihlal edilmiş bir sistemden bulaştıktan 30 dakika sonra veri topladığını gösterdi. QBot, bir saat içinde komşu sistemlere yayılabilir.
Malwarebytes, kötü amaçlı DLL’yi (QBot) algılar.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE