- 19,454
- 40
- 8 Ноя 2022
Легендарный вредонос создаёт новые ловушки для заражённых систем.
Троян QBot ( Qakbot , Pinkslipbot) снова привлекает внимание специалистов. Вредоносный инструмент, активно функционирующий с 2007 года, остаётся одним из самых стойких примеров банковских троянов, который эволюционировал в мощную платформу для атак.
В августе 2024 года правоохранительные органы Для просмотра ссылки Войдиили Зарегистрируйся по пресечению деятельности операторов QBot. Теперь компания ZScaler Для просмотра ссылки Войди или Зарегистрируйся связь между функциями QBot и другими Для просмотра ссылки Войди или Зарегистрируйся , включая вредоносное ПО Zloader, которое использует DNS-туннелирование для скрытой передачи данных.
В ходе Для просмотра ссылки Войдиили Зарегистрируйся вредоносных файлов исследователи выявили интересные детали. Один из обнаруженных образцов, содержащий архив «pack.dat», включал несколько подозрительных компонентов, в том числе exe- и dll-файлы, которые работают совместно для расшифровки скрытого PE-файла, который запускает дальнейшую вредоносную активность. Используемый алгоритм шифрования RC4 указывает на высокий уровень продуманности киберпреступников.
Исследование подтвердило, что QBot эволюционировал, внедрив новую модульную структуру, которая позволяет использовать троян в качестве платформы для запуска других вредоносных модулей. Например, новый модуль BackConnect был разработан для отслеживания процессов и передачи информации о зараженных системах через зашифрованные каналы. Специалисты выявили, что модуль использует низкоуровневые функции для контроля процессов и обращения к реестру Windows, а также для обхода стандартных защитных механизмов и анализа работы системы.
Дальнейший мониторинг показал, что активность QBot связана с кампанией по распространению программы-вымогателя BlackBasta. Современные тактики, такие как Sideloading, позволяют преступникам развивать атаки и эффективно обходить традиционные методы защиты. Исследователи предупреждают, что такие методы могут быть использованы для дальнейших атак с применением шифровальщиков.
Для противодействия угрозе ZScaler опубликовали YARA-правила, позволяющие идентифицировать новые версии вредоносного ПО. Однако эффективность мер зависит от скорости их внедрения в системы защиты.
Троян QBot ( Qakbot , Pinkslipbot) снова привлекает внимание специалистов. Вредоносный инструмент, активно функционирующий с 2007 года, остаётся одним из самых стойких примеров банковских троянов, который эволюционировал в мощную платформу для атак.
В августе 2024 года правоохранительные органы Для просмотра ссылки Войди
В ходе Для просмотра ссылки Войди
Исследование подтвердило, что QBot эволюционировал, внедрив новую модульную структуру, которая позволяет использовать троян в качестве платформы для запуска других вредоносных модулей. Например, новый модуль BackConnect был разработан для отслеживания процессов и передачи информации о зараженных системах через зашифрованные каналы. Специалисты выявили, что модуль использует низкоуровневые функции для контроля процессов и обращения к реестру Windows, а также для обхода стандартных защитных механизмов и анализа работы системы.
Дальнейший мониторинг показал, что активность QBot связана с кампанией по распространению программы-вымогателя BlackBasta. Современные тактики, такие как Sideloading, позволяют преступникам развивать атаки и эффективно обходить традиционные методы защиты. Исследователи предупреждают, что такие методы могут быть использованы для дальнейших атак с применением шифровальщиков.
Для противодействия угрозе ZScaler опубликовали YARA-правила, позволяющие идентифицировать новые версии вредоносного ПО. Однако эффективность мер зависит от скорости их внедрения в системы защиты.
- Источник новости
- www.securitylab.ru
