Qbot botnet artık kötü amaçlı MSI Windows Installer paketleri içeren parola korumalı ZIP arşiv ekleriyle kimlik avı e-postaları aracılığıyla kötü amaçlı yazılım yüklerini zorluyor.
Bu, Qbot operatörlerinin bu taktiği ilk kez kullanmaları ve kötü amaçlı yazılımları kimlik avı e-postaları yoluyla teslim etme standart yöntemlerinden Microsoft Office belgelerini hedef cihazlarına kötü amaçlı makrolarla bırakarak geçiş yapmalarıdır.
Güvenlik araştırmacıları, bu hareketin Microsoft’un şu an için planlarını duyurmasına doğrudan bir tepki olabileceğinden şüpheleniyor. VBA Office makroları aracılığıyla kötü amaçlı yazılım dağıtımını sonlandırın sonra şubatta Excel 4.0 (XLM) makrolarını varsayılan olarak devre dışı bırakma Ocak ayında.
Microsoft, VBA makro otomatik engelleme özelliğini Geçerli Kanalda (Önizleme) Sürüm 2203’ten başlayarak Nisan 2022’nin başlarında Windows için Office kullanıcılarına ve daha sonra diğer yayın kanallarına ve eski sürümlere sunmaya başladı.
“Saldırganların Qakbot’u teslim etmek için kullandıkları çeşitli e-posta yöntemlerine rağmen, bu kampanyaların ortak noktası Office belgelerinde kötü amaçlı makroları, özellikle Excel 4.0 makrolarını kullanmalarıdır.” dedim aralıkta.
“Tehditler, tespitten kaçmak için Excel 4.0 makrolarını kullanırken, bu özelliğin artık varsayılan olarak devre dışı bırakıldığını ve bu nedenle, bu tür tehditlerin düzgün bir şekilde yürütülmesi için kullanıcıların manuel olarak etkinleştirmesini gerektirdiğini belirtmek gerekir.”
Office belgelerine katıştırılmış kötü amaçlı VBA makroları kullanmak, zorlamak için yaygın bir yöntem olduğundan, bu, Office müşterilerini korumaya yönelik önemli bir güvenlik geliştirmesidir. çok çeşitli kötü amaçlı yazılım türleri dahil olmak üzere kimlik avı saldırılarında Qbot, ifade, hile botuve Dridex.
Qbot nedir?
Qbot (Ayrıca şöyle bilinir Kakbot, şarlatan robotve pembe slipbot), en az 2007’den beri bankacılık kimlik bilgilerini, kişisel bilgileri ve finansal verileri çalmak, ayrıca güvenliği ihlal edilmiş bilgisayarlara arka kapıları kapatmak ve Cobalt Strike işaretlerini dağıtmak için kullanılan solucan özelliklerine sahip modüler bir Windows bankacılık truva atıdır.
Bu kötü amaçlı yazılım, ağ paylaşımı açıklarını kullanarak güvenliği ihlal edilmiş bir ağdaki diğer cihazlara bulaşmasıyla da bilinir. son derece agresif kaba kuvvet saldırıları Active Directory yönetici hesaplarını hedefleme.
Qbot kötü amaçlı yazılımı, on yılı aşkın bir süredir etkin olmasına rağmen, daha yüksek bir yatırım getirisi sağladıkları için öncelikle kurumsal varlıklara yönelik yüksek oranda hedefli saldırılarda kullanılmıştır.
REvil, Egregor, ProLock, PwndLocker ve MegaCortex dahil olmak üzere birden fazla fidye yazılımı çetesi de kurumsal ağları ihlal etmek için Qbot’u kullandı.
Qbot enfeksiyonları tehlikeli enfeksiyonlara ve son derece yıkıcı saldırılara yol açabileceğinden, BT yöneticilerinin ve güvenlik uzmanlarının bu kötü amaçlı yazılıma, bir ağa yayılmak için kullandığı taktiklere ve botnet operatörleri tarafından yeni hedeflere ulaştırmak için kullanılanlara aşina olmaları gerekir.
Aralık 2021 tarihli bir Microsoft raporu, Qbot saldırılarının çok yönlülüğüenfeksiyonlarının kapsamını doğru bir şekilde değerlendirmeyi zorlaştırıyor.