ДОЛГОЖИТЕЛЬ QBOT ПОЛУЧИЛ НОВЫЙ ДРОППЕР
Расследуя новую атаку Qbot, эксперты компании Varonis обнаружили, что авторы 10-летнего похитителя информации вновь изменили схему его доставки на компьютер. Цепочку заражения теперь запускает не макрос в подложном документе Word, а VBS-скрипт, который в качестве загрузчика использует инструмент командной строки BITSAdmin. (Предыдущая версия Qbot опиралась на PowerShell.)
Windows-зловред, предназначенный в основном для кражи учетных данных, впервые появился на радарах ИБ-исследователей в начале 2009 года. Его операторов особо интересуют ключи доступа к банковским счетам юридических лиц, и для их получения они время от времени проводят кампании по массовому заражению, используя drive-by-загрузки, эксплойты или спам-рассылки.
Чтобы уберечь свое детище от обнаружения, создатели Qbot заложили в нем возможность внесения полиморфных изменений — перепаковки кода, обновления шифра и конфигурационных данных на лету. Зловред также способен отслеживать присутствие в системе антивирусной защиты и распространяться по внутренней сети подобно червю.
Так, образец Qbot, подвергнутый анализу в Varonis, оперировал списком антивирусов, в который входили Защитник Windows, а также защитные решения Malwarebytes, «Лаборатории Касперского», McAfee, Symantec и Trend Micro. Для распространения по сети обновленный зловред использовал списки ходовых логинов и паролей, помогающие ему взламывать аккаунты не только локальных пользователей, но и пользователей домена.
Новый дроппер Qbot скрывался в ZIP-архиве, в файле с расширением .doc.vbs — по всей видимости, злоумышленники распространяли вредоносный документ через email-рассылки. При запуске VBS-скрипт определяет версию ОС и наличие в системе антивируса и в зависимости от этой информации закачивает с помощью BITSAdmin тот или иной вариант полезной нагрузки.
Примечательно, что все найденные коды загрузки Qbot были подписаны действующими сертификатами, выданными на имя разных британских компаний.
В своем отчете исследователи не преминули отметить, что использование поддельных или краденых сертификатов характерно для этого зловреда.
Поведение загрузчика Qbot, как показал анализ, практически не изменилось. Он копирует себя в папку %Appdata%\Roaming\, прописывается на
автозапуск в системном реестре, обеспечивает исполнение своей копии с 5-часовым интервалом, создает ярлык для быстрого доступа к своему
коду и запускает 32-битный процесс explorer.exe для внедрения основной полезной нагрузки.
Как и прежде, главной задачей Qbot является кража учетных данных, а также финансовой и сопутствующей информации. С этой целью он регистрирует нажатия клавиш, ищет пароли и куки, сохраненные в браузере, а также внедряется во все запущенные процессы, перехватывая API-вызовы и извлекая нужные данные. Если связь с Интернетом отсутствует, зловред шифрует и сохраняет собранную информацию на машине, чтобы при первой возможности отправить ее на C&C-сервер.
Исследователям удалось проникнуть на один из таких серверов; в логах они обнаружили списки IP-адресов жертв, используемых ими ОС и антивирусных продуктов. Из 2726 уникальных IP почти две трети были прописаны в США, остальные — в Великобритании, Германии, Франции, ЮАР, Бразилии, России (60), Канаде, Индии и Китае. Поскольку многие зараженные ПК располагались во внутренних сетях организаций (за NAT), списки жертв в разделении по версиям
ОС и установленным антивирусам оказались более внушительными: первый содержал более 63 тыс. позиций, второй — свыше 46 тыс.
Источник ThreatPost
Расследуя новую атаку Qbot, эксперты компании Varonis обнаружили, что авторы 10-летнего похитителя информации вновь изменили схему его доставки на компьютер. Цепочку заражения теперь запускает не макрос в подложном документе Word, а VBS-скрипт, который в качестве загрузчика использует инструмент командной строки BITSAdmin. (Предыдущая версия Qbot опиралась на PowerShell.)
Windows-зловред, предназначенный в основном для кражи учетных данных, впервые появился на радарах ИБ-исследователей в начале 2009 года. Его операторов особо интересуют ключи доступа к банковским счетам юридических лиц, и для их получения они время от времени проводят кампании по массовому заражению, используя drive-by-загрузки, эксплойты или спам-рассылки.
Чтобы уберечь свое детище от обнаружения, создатели Qbot заложили в нем возможность внесения полиморфных изменений — перепаковки кода, обновления шифра и конфигурационных данных на лету. Зловред также способен отслеживать присутствие в системе антивирусной защиты и распространяться по внутренней сети подобно червю.
Так, образец Qbot, подвергнутый анализу в Varonis, оперировал списком антивирусов, в который входили Защитник Windows, а также защитные решения Malwarebytes, «Лаборатории Касперского», McAfee, Symantec и Trend Micro. Для распространения по сети обновленный зловред использовал списки ходовых логинов и паролей, помогающие ему взламывать аккаунты не только локальных пользователей, но и пользователей домена.
Новый дроппер Qbot скрывался в ZIP-архиве, в файле с расширением .doc.vbs — по всей видимости, злоумышленники распространяли вредоносный документ через email-рассылки. При запуске VBS-скрипт определяет версию ОС и наличие в системе антивируса и в зависимости от этой информации закачивает с помощью BITSAdmin тот или иной вариант полезной нагрузки.
Примечательно, что все найденные коды загрузки Qbot были подписаны действующими сертификатами, выданными на имя разных британских компаний.
В своем отчете исследователи не преминули отметить, что использование поддельных или краденых сертификатов характерно для этого зловреда.
Поведение загрузчика Qbot, как показал анализ, практически не изменилось. Он копирует себя в папку %Appdata%\Roaming\, прописывается на
автозапуск в системном реестре, обеспечивает исполнение своей копии с 5-часовым интервалом, создает ярлык для быстрого доступа к своему
коду и запускает 32-битный процесс explorer.exe для внедрения основной полезной нагрузки.
Как и прежде, главной задачей Qbot является кража учетных данных, а также финансовой и сопутствующей информации. С этой целью он регистрирует нажатия клавиш, ищет пароли и куки, сохраненные в браузере, а также внедряется во все запущенные процессы, перехватывая API-вызовы и извлекая нужные данные. Если связь с Интернетом отсутствует, зловред шифрует и сохраняет собранную информацию на машине, чтобы при первой возможности отправить ее на C&C-сервер.
Исследователям удалось проникнуть на один из таких серверов; в логах они обнаружили списки IP-адресов жертв, используемых ими ОС и антивирусных продуктов. Из 2726 уникальных IP почти две трети были прописаны в США, остальные — в Великобритании, Германии, Франции, ЮАР, Бразилии, России (60), Канаде, Индии и Китае. Поскольку многие зараженные ПК располагались во внутренних сетях организаций (за NAT), списки жертв в разделении по версиям
ОС и установленным антивирусам оказались более внушительными: первый содержал более 63 тыс. позиций, второй — свыше 46 тыс.
Источник ThreatPost
Последнее редактирование: