木馬 Qbot 回歸，攻擊金融機構及銀行客戶

這個有12年歷史的惡意軟件仍然很危險，它擁有先進的規避技術。

自2008年以來一直存在的一種不斷進化的竊取信息的木馬Qbot，在中斷了針對美國金融機構客戶的攻擊后，又重新出現了。它最新的變種具有不易被發現的新功能。

Qbot(又名Qakbot或Pinkslipbot)收集瀏覽數據和金融信息，包括網上銀行的詳細信息。它的一些技巧包括密鑰記錄、憑證竊取、cookie過濾和進程掛鉤。Qbot之前已經發展到添加一種“上下文感知”交付技術；在另一個案例中，增加了6小時的進化周期來逃避檢測。

F5的研究人員使用一種新的變體發現了最近的活動，這種變體也努力避免分析。他們告訴Threatpost，新菌株的第一批樣本首次出現在1月份的《病毒總量》雜志上。

根據最新的F5分析，“Qbot仍然是基于窗口的，但是這個最新版本增加了檢測和研究規避技術”。“它有一個新的包裝層，可以對掃描儀和基于簽名的工具亂碼和隱藏代碼。它還包括反虛擬機技術，這有助于它抵制法醫檢查。”

在最近的活動中，攻擊者通過網絡釣魚、通過滴管注入Qbot的網絡漏洞或惡意文件共享來感染計算機。F5表示，一旦受害者受到威脅，Qbot會等待時機，直到受害者打開自己感興趣的網頁——特別是美國銀行、第一資本、花旗銀行、公民銀行、摩根大通、太陽銀行、道明銀行、富國銀行等的網上銀行門戶。

“這似乎是一個專門的活動，當機器被感染時，瀏覽器劫持或重定向是主要的攻擊方法，”研究人員解釋說。當Qbot監視受害者的網絡流量時，它會尋找特定的金融服務來獲取憑證。”

據該公司稱，總體而言，這一波感染是專門針對36家美國金融機構以及加拿大和荷蘭的兩家銀行的。研究人員告訴Threatpost，就受害者人數而言，這一活動的范圍尚不清楚。

有趣的是，Qbot的目標頁面帶有查詢“注銷/退出/退出”請求的正則表達式搜索字符串。

Qbot的目標列表還包括可能在攻擊的第二階段使用的通用網址——比如，向受害者顯示信息，以便在銀行活動結束后將他們轉移到其他地方。

“由于通用網址是正則表達式，它們可以以不同的方式使用，例如https:///cmserver/logout.cfm” 研究人員說。“它不會限制攻擊，而是將攻擊擴展到任何請求攻擊的網站，因為這是一個‘注銷’。可能是在攻擊的第二階段，當用戶想要注銷時，突然出現一條附加消息。”

開箱程序

一旦受害者最初受到損害，Qbot可執行程序就會將自己加載到正在運行的explorer.exe內存中。然后，它將自己復制到應用程序文件夾的默認位置，如%APPDATA%注冊表項中定義的，并在特定注冊表項HKCU \軟件\微軟\窗口\當前版本\運行中創建自己的副本，以便在系統重新啟動時運行，從而實現持久性。

在下一步中，根據F5分析，Qbot刪除一個帶有系統信息和僵尸網絡名稱日志的. dat文件，然后從%APPDATA%文件夾中執行其副本。之后，為了掩蓋它的蹤跡，它用一個合法的文件替換原來被感染的文件。

“最后，Qbot創造了一個explorer.exe的例子，并把自己注入其中。”F5研究人員表示。“然后，攻擊者使用始終運行的explorer.exe進程從他們的外部命令和控制服務器更新Qbot。”

研究人員說，Qbot的最新版本顯示，長期惡意軟件仍然是危險的。

“毫不奇怪，10多年前的惡意軟件仍然活躍，并為新的攻擊重新編碼，”James McQuiggan，KnowBe4的安全意識倡導者，通過電子郵件說。“網絡犯罪分子過去曾看到它成功工作，并通過將其注入反惡意軟件應用程序接受的已知流程來更新代碼和概念。”

他補充說，像往常一樣，用戶意識可以在很大程度上阻止這樣的攻擊。

“組織中的員工應該意識到，訪問不熟悉或未知的網站會帶來旁路攻擊，并繞過系統的安全性，”McQuiggan說。“他們應該注意如何在出現奇怪行為時提醒他們的安全團隊，尤其是像網絡釣魚這樣的社交工程詐騙。”