改版 Qbot 木馬程序攻擊迅速傳播，劫持電子郵件線程感染數 10 萬用戶

Check Point發現，新版本的特洛伊木馬正在迅速傳播，并已在全球范圍內奪走了100,000名受害者。

據Check Point 的研究人員星期四發表了關于他們發現的報告稱，Qbot是自2008年以來不斷發展的信息竊取木馬，再次改變了戰術并采用了許多新技術。例如，一項新的Qbot功能會劫持受害者基于Outlook的電子郵件線程，并使用它來感染其他PC。

據F5研究人員稱，這種具有12年歷史的惡意軟件于2020年1月重新出現，他于6月發表了一份報告，詳細介紹了新的Qbot規避功能以免被發現。

報告背后的檢查點研究員 Alex Ilgayev 寫道：“我們認為該活動已于6月之后停止，以允許QBot背后的人員進行進一步的惡意軟件開發，但我們沒有想到它會以如此快的速度返回。”

Ilgayev現在說，檢查點（Check Point）最近幾個月發現了幾項新的活動。其中一個活動是使用Emotet僵尸網絡，該僵尸網絡最近中斷了五個月，最近又浮出水面。他們說，這標志著一種新的分配技術。Check Point表示，這一活動在7月份影響了全球5％的組織。研究人員還懷疑Qbot具有更新的命令和控制基礎結構。

Check Point網絡研究主管Yaniv Balmas在給Threatpost的電子郵件中說：“我們的研究表明，即使舊形式的惡意軟件也可以通過新功能進行更新，使其成為危險的持久威脅。” “ Qbot背后的威脅參與者正在對其開發進行大量投資，以使組織和個人大規模盜竊數據。”

Check Point表示，到目前為止，新的Qbot運動的大多數受害者都在美國，在美國已檢測到29％的Qbot攻擊，其次是印度，以色列和意大利。

關于Qbot的最新表現，最令人困擾的也許是它如何使人們自己的收件箱與他們相對。研究人員說，安裝后，特洛伊木馬會向目標組織或個人發送特制電子郵件，每個電子郵件都有指向帶有惡意Visual Basic Script（VBS）文件的ZIP的URL，該文件包含可以在Windows中執行的代碼。

如果執行了該文件，則Qbot會激活一個特殊的“電子郵件收集器模塊”，以從受害人的Outlook客戶端提取所有電子郵件線程，然后將其上傳到硬編碼的遠程服務器。

研究人員寫道：“這些被盜的電子郵件隨后被用于未來的垃圾郵件運動，使用戶更容易被誘騙點擊受感染的附件，因為垃圾郵件似乎繼續存在現有的合法電子郵件對話。”

特洛伊木馬程序會及時收集有關主題材料，以欺騙受害者。在最近的活動中，Check Point研究人員發現Qbot竊取了與Covid-19，納稅提醒和工作招聘有關的電子郵件。

研究人員觀察到，一旦Qbot被釋放，它就擁有許多能力，其中任何一項本身都會給受害者帶來問題。

他們說，該惡意軟件可以從受感染的計算機中竊取信息，包括密碼，電子郵件和信用卡詳細信息。根據Check Point的說法，它還可以在其他機器上安裝惡意軟件，包括勒索軟件，或使用Bot控制器連接到受害者的計算機，以從該IP地址進行銀行交易。

Balmas說，除了通常的電子郵件安全保護措施外，Check Point還建議人們特別警惕所有可疑或遠程網絡釣魚的電子郵件（即使發件人是他們認識的人），以免淪為經過改進的Qbot的受害者。

他說：“我強烈建議人們密切注意他們的電子郵件中是否有表明網絡釣魚企圖的跡象，即使電子郵件似乎來自可信的來源。”