Qbot 木馬程式一直被認為像萬用軍刀的惡意程式,近日有研究人員發現,改版後的 Qbot 透過電郵,以極快的速度傳播,現時全球已有大約 10 萬部裝置受到影響。
持續進化的資料盜竊木馬程式
Qbot 自 2008 年開始活動,多年來持續適應新技術而轉換策略,根據研究人員發表的報告,新的 Qbot 功能可以驗劫受害者 Qutlook 為基礎的電郵,從而用來威脅其他電腦。在今年 1 月,有另一組研究人員發現 Qbot 具備逃避偵測的功能,盡管暫活動看似已經停止,但研究人員認為它會很快捲土重來。
與殭屍網絡同行
在近幾個月內有數個活動,被發現 Qbot 與殭屍網網 Emotet 並肩而行,認為這是新散播技術的訊號,單一個活動已對全球 5% 機構帶來衝擊,研究人員並且懷疑 Qbot 更了 C&C 的架構。此外,舊版本的惡意程式同樣可以更新到具備新的功能,令 Qbot 的威脅具備持續性,其背後的人士投放了大量資源,到無分機構或個人的大規模資料盜竊之上。
現時大部份新版 Qbot 受害者都位於美國,佔被偵測到的 29% 左右,其次是印度、以色列和意大利。新版 Qbot 最麻煩的地方是把受害者的收件箱據為己有,一經安裝,木馬程式便會特製一封電郵發送到目標機構或人士,每封都附有一條 URL 連到一個惡意 Visual Basic Script 的 Zip 檔案,而檔案則含有編碼可以在 Windows 上執行。
取得受害者電郵控制權
當執行 Zip 檔案,Qbot 便會啟動特別的電郵收集模組,經由受害者的 Outlook 中提取所有電郵往來,再上載到 hardcode 了的遙距伺服器上。這些被盜的電郵會被用戶將來的惡意濫發活動,令他們更容易誘騙用戶點擊附件,因為那些電郵會在正常的電郵對話中出現。
木馬程式也會選擇合時的相關話題作為題材,令受害者更容易「中招」,近期就是以 Covid-19、繳稅提示和招聘等熱門話題作為誘餌。一旦 Qbot 成功進感染裝置,它的功能就可以完全發揮,包括盜取裝置的資料,例如:密碼、電郵和信用卡資料,它也能夠額外安裝其他惡意程式,包括加密勒索程式,又或者通過殭屍制器連接受害者電腦,以他們的 IP 進行銀行交易。
研究人員建議用戶,除了使用電郵保安方案,面對可疑的電郵或連結時都要提高警剔,即使來自認識的送件者。
資料來原:Threat Post
