AppsecZone

Операторы Qakbot распространяют вредоносное ПО через переписки электронной почты

Операторы Qakbot распространяют вредоносное ПО через переписки электронной почты Операторы Qakbot распространяют вредоносное ПО через переписки электронной почты Операторы Qakbot распространяют вредоносное ПО через переписки электронной почты
14.03.2022

Операторы вредоносного ПО Qakbot (также известного как QBot, QuackBot и Pinkslipbot) изменили свою тактику и теперь перехватывают переписки электронной почты для загрузки вредоносных DLL-библиотек и внедрения в web-страницы кода для кражи паролей, сообщает SecurityLab.

Как сообщили специалисты из компании Sophos, вредонос собирает широкий спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр.

Qakbot — модульный многоцелевой ботнет, распространяемый по электронной почте, который становится все более популярным среди злоумышленников в качестве сети распространения вредоносных программ, таких как Trickbot и Emotet.

В ходе текущей вредоносной кампании операторы Qakbot внедряли вредоносные сообщения в существующие переписки электронной почты. Сообщения содержали короткое предложение и ссылку для загрузки zip-файла c вредоносной электронной таблицей Microsoft Excel.

Как только Qakbot заражает цель, он сканирует устройство, собирает информацию и отправляет ее на командный сервер. Затем ботнет устанавливает еще не менее трех вредоносных модулей:

  • Модуль, внедряющий в web-страницы код для кражи паролей;

  • Модуль, выполняющий сканирование сети и собирающий данные о других системах поблизости;

  • Модуль, определяющий адреса почтовых серверов SMTP (Simple Mail Transfer Protocol) с целью подключения и дальнейшей рассылки спама.


Комментарии 0


Назад