QakBot 銀行木馬竊取資金

一項新的研究表明，一個臭名昭著的旨在竊取銀行帳戶憑據和其他財務信息的銀行木馬，如今又以針對美國和歐洲政府，軍事和制造業的新手段而卷土重來。

在今天由Check Point Research發布的一項分析中，最新的Qbot活動似乎與Emotet的出現相吻合。Emotet是上個月僵尸網絡驅動的垃圾郵件活動和勒索軟件攻擊背后的另一種基于電子郵件的惡意軟件，具有新樣本功能。秘密地從受害者的Outlook客戶端收集所有電子郵件線程，并將其用于以后的垃圾郵件活動。

這家網絡安全公司說：“如今，Qbot比以前更加危險，它開展了積極的惡意垃圾郵件運動，感染了組織，并且設法使用了像Emotet這樣的’第三方’感染基礎設施來進一步傳播威脅。” 。

使用被劫持的電子郵件線程作為誘餌

Qbot（又名QuakBot，QakBot或Pinkslipbot） 于2008年首次發布，多年來已從信息竊取者演變為擅長提供其他類型惡意軟件（包括Prolock勒索軟件）的“瑞士軍刀” ，甚至可以遠程連接目標的Windows系統從受害者的IP地址進行銀行交易。

攻擊者通常使用網絡釣魚技術感染受害者，以誘使受害者進入利用漏洞通過滴管注入Qbot的網站。

F5實驗室在6月 觀察到的一次垃圾郵件攻擊，發現該惡意軟件配備了檢測和研究規避技術，旨在逃避法醫檢查。然后在上周，Morphisec解壓縮了一個Qbot樣本，該樣本帶有兩種新方法，這些新方法旨在繞過內容撤防與重建（CDR）和端點檢測與響應（EDR）系統。

Check Point詳細介紹的感染鏈遵循類似的模式。

第一步開始于特制的網絡釣魚電子郵件，其中包含附加的ZIP文件或指向包含惡意Visual Basic腳本（VBS）的ZIP文件的鏈接，然后繼續下載負責與攻擊者保持適當通信渠道的其他有效負載控制的服務器并執行收到的命令。

值得注意的是，發送給目標組織的網絡釣魚電子郵件以COVID-19誘餌，納稅提醒和工作招聘的形式出現，不僅包含惡意內容，而且還插入了雙方之間的存檔電子郵件線程以提供信譽的空氣。

為此，使用電子郵件收集器模塊預先收集了對話，該模塊從受害人的Outlook客戶端提取所有電子郵件線程，并將其上載到硬編碼的遠程服務器。

除了包裝組件抓密碼，瀏覽器的cookies，并在銀行網站注入的JavaScript代碼，該Qbot運營商發布了多達自今年開始惡意軟件的15個版本，與8月7日公布的最后已知版本

更重要的是，Qbot帶有一個hVNC插件，可以通過遠程VNC連接控制受害機器。

Check Point指出：“即使用戶登錄計算機，外部操作員也可以在用戶不知情的情況下進行銀行交易。該模塊與TrickBot的hVNC等類似模塊共享大量代碼。”

從被感染的機器到控制服務器

那不是全部。Qbot還配備了一種單獨的機制，可以通過使用代理模塊將受感染的計算機募集到僵尸網絡中，該代理模塊允許將受感染的計算機用作控制服務器。

通過Qbot劫持合法的電子郵件線程來傳播惡意軟件，即使用戶似乎來自受信任的來源，也必須監視用戶的電子郵件以進行網絡釣魚攻擊。

Check Point Research的Yaniv Balmas表示：“我們的研究表明，即使舊形式的惡意軟件也可以通過新功能進行更新，使其成為危險而持久的威脅。Qbot背后的威脅行為者正在對其開發進行大量投資，以使組織和個人大規模盜竊數據。”

Balmas補充說：“我們已經看到活躍的惡意垃圾郵件活動直接分發Qbot，以及使用諸如Emotet的第三方感染基礎設施進一步傳播威脅。”