Компанія з інформаційної безпеки Varonis дослідила кібератаки, націлені на корпорації в США, Європі, Азії і Південній Америці, в яких зловмисники використовували нову версію шкідливого програмного забезпечення Qbot, призначеного для крадіжки фінансової інформації. Розробники Qbot зберегли поліморфічні функції, що дозволяють уникнути виявлення, але додали два нових вектора інфікування.
Інфікувавши мережу, троян здійснює брутфорс-атаки на облікові записи користувачів з групи “Active Directory Domain Users”. Шкідливе програмне забезпечення фіксує натискання клавіш, сканує всі системні процеси на предмет пов’язаних з банківськими операціями записів і краде облікові дані.
Якщо попередні версії використовували шкідливий документ Microsoft Word для зараження системи, то новий варіант для цієї мети застосовує шкідливий VBS-файл. Після запуску VBS-файл визначає версію операційної системи, встановлену на комп’ютері жертви, і сканує систему на наявність поширеного антивірусного забезпечення (Windows Defender, Malwarebytes, Kaspersky, Trend Micro тощо). Потім файл використовує інструмент командного рядка BITSAdmin для завантаження трояна Qbot (попередні версії Qbot використовували PowerShell).
Якщо на комп’ютері жертви немає підключення до Інтернету, шкідлива програма копіює себе в різні місця на зараженому пристрої і продовжує роботу. У разі відсутності можливості відправлення інформації, Qbot буде зберігається на комп’ютері в зашифрованому вигляді.
Фахівці виявили кілька C&C-серверів, що стосуються Qbot, – тільки до одного з них було підключено 40 тисяч комп’ютерів на базі Windows. Сервер містив журнал записів з IP-адресами жертв, відомостями про ОС і назвами антивірусних продуктів. Дані, отримані з сервера, свідчили про використання під час атак як старих версій Qbot, так і нових. Як вдалося з’ясувати фахівцям, майже на всіх заражених пристроях був встановлений Windows Defender. Близько 90% заражених комп’ютерів були розташовані в США, менш 10% – у Великобританії.
До речі, сьогодні відомо близько 500 мільйонів видів комп’ютерних вірусів і щодня їхня кількість тільки збільшується. Написання вірусів стало прибутковим бізнесом, оскільки вартість вірусної атаки на один-два порядки менша, ніж нанесена нею шкода. А деякі види вірусів і прямо приносять доходи своїм власникам. Дізнайтеся про усі відомі типи вірусів та про те, як від них захиститися.
