QakBot Banking特洛伊木马程序带着新的鬼鬼祟祟的诡计回来偷你的钱

一项最新研究显示，一个臭名昭著的银行特洛伊木马程序旨在窃取银行账户凭证和其他金融信息，现在又卷土重来，使用了新的伎俩，以美国和欧洲的政府、军事和制造业为目标。

Check Point Research今天发布的一项分析显示，Qbot活动的最新浪潮似乎与Emotet—；另一个基于电子邮件的恶意软件背后有几次僵尸网络驱动的垃圾邮件活动和勒索软件攻击—；上个月，新的示例能够秘密收集受害者Outlook客户端的所有电子邮件线程，并将其用于以后的恶意垃圾邮件活动。

这家网络安全公司说：“如今Qbot比以前危险得多—；它有一个活跃的恶意垃圾邮件活动，会感染组织，并且它设法利用像Emotet这样的“第三方”感染基础设施来进一步传播威胁。”。

使用被劫持的电子邮件线程作为诱饵

Qbot（又名QuakBot、QakBot或Pinkslipbot）最早记录于2008年，多年来已从信息窃取者演变为“瑞士军刀”，擅长传送其他类型的恶意软件，包括Prolock勒索软件，甚至远程连接到目标的Windows系统，从受害者的IP地址执行银行交易。

攻击者通常使用网络钓鱼技术感染受害者，诱使受害者访问利用漏洞通过滴管注入Qbot的网站。


F5实验室6月观察到的恶意垃圾邮件攻击发现，该恶意软件配备了检测和研究规避技术，目的是逃避法医检查。然后在上周，Morphisec打开了一个Qbot示例，其中包含两种新方法，旨在绕过内容解除和重建（CDR）和端点检测与响应（EDR）系统。

按检查点详述的感染链遵循类似模式。

第一步从一封精心编制的钓鱼电子邮件开始，其中包含一个附加的ZIP文件或一个指向包含恶意Visual Basic脚本（VBS）的ZIP文件的链接，然后下载额外的有效载荷，负责与攻击者控制的服务器保持适当的通信通道，并执行收到的命令。

值得注意的是2019冠状病毒疾病的邮件，以CVID-19诱饵、纳税提醒和招聘的形式发送给目标组织，不仅包括恶意内容，而且还插入了存档的电子邮件线索，以保证双方的信誉。


为了实现这一点，事先使用电子邮件收集器模块收集对话，该模块从受害者的Outlook客户端提取所有电子邮件线程，并将其上传到硬编码的远程服务器。

除了打包用于在银行网站上获取密码、浏览器cookie和注入JavaScript代码的组件外，Qbot运营商自今年年初以来发布了多达15个版本的恶意软件，最后一个已知版本发布于8月7日。

此外，Qbot还附带了一个hVNC插件，可以通过远程VNC连接控制受害机器。

Check Point指出：“外部操作员可以在用户不知情的情况下执行银行交易，即使他登录到自己的计算机上也是如此。”。“该模块与TrickBot的hVNC等类似模块共享高比例的代码。”

从受感染的机器到控制服务器

还不止这些。Qbot还配备了一个单独的机制，通过使用代理模块将受损机器招募到僵尸网络中，该模块允许将受感染的机器用作控制服务器。

随着Qbot劫持合法的电子邮件线程来传播恶意软件，用户必须监控他们的电子邮件是否存在网络钓鱼攻击，即使这些攻击似乎来自可信来源。

Check Point research的Yaniv Balmas说：“我们的研究表明，即使是旧形式的恶意软件，也可以通过新功能进行更新，使其成为一种危险且持久的威胁。”。“Qbot背后的威胁参与者正在大力投资其开发，以实现组织和个人的大规模数据窃取。”

巴尔马斯补充说：“我们已经看到积极的恶意垃圾邮件活动直接分发Qbot，以及使用第三方感染基础设施（如Emotet）进一步传播威胁。”。