Ботнет Qbot использует новый шаблон для распространения своего вредоносного ПО, в котором используется поддельная антивирусная тема Защитника Windows, чтобы обманом заставить вас включить макросы Excel.
Qbot, также известный как QakBot или QuakBot, представляет собой вредоносное ПО для Windows, которое крадет банковские учетные данные, учетные данные домена Windows и предоставляет удаленный доступ злоумышленникам, устанавливающим программы-вымогатели.
Жертвы обычно заражаются Qbot через другое вредоносное ПО или через фишинговые кампании с использованием различных приманок, включая поддельные счета, платежную и банковскую информацию, отсканированные документы или счета.
Пример спама от Qbot
Источник: Брэд Дункан
К этим спам-сообщениям прикреплены вредоносные вложения Excel (.xls). При открытии этих вложений пользователю будет предложено «Включить контент», чтобы запустить вредоносный макрос для установки вредоносного ПО Qbot на компьютер жертвы.
Чтобы обманом заставить пользователя нажать кнопку «Включить контент» и тем самым включить макросы, злоумышленники используют стилизованные шаблоны документов, которые якобы принадлежат надежной организации или вашей операционной системе.
25 августа Qbot переключился на новый шаблон, который притворяется предупреждением от антивируса Защитника Windows, утверждая, что документ зашифрован.
Чтобы расшифровать документ, пользователям необходимо нажать «Разрешить редактирование» или «Разрешить содержимое», чтобы расшифровать его с помощью «Microsoft Office Decryption Core».
Новое приложение Qbot 'Защитник Windows'
После нажатия кнопки включения содержимого будут запущены вредоносные макросы, загружающие и устанавливающие вредоносное ПО Emotet на компьютер жертвы.
Людям, которые работают в сфере кибербезопасности, являются ИТ-администраторами или энтузиастами Windows, это сообщение кажется глупым и надуманным. Тем не менее, для обычных пользователей это достаточно убедительно, что многие последуют инструкциям и заразятся Qbot.
Почему важно распознавать вложения Qbot?
За последние пару месяцев Qbot стал широко распространяться, особенно после того, как он рассылался в виде спама, распространяемого ботнетом Emotet .При заражении Qbot выполняет различные вредоносные действия, которые позволяют злоумышленникам получить доступ к вашим банковским счетам и вашей сети.
Получив доступ к сети, они устанавливают программы-вымогатели, такие как ProLock, по всей системе.
В связи с этим очень важно распознавать шаблоны вредоносных документов, используемые Qbot, чтобы вы случайно не заразились.
Перевод с английского - Google
Bleeping Computer
