Ο δημιουργός του κακόβουλου λογισμικού Qbot, ή κάποιος με πρόσβαση στον πηγαίο κώδικα του malware, φαίνεται να πειραματίζεται με νέες εκδόσεις καθώς έχει παρουσιαστεί μία νέα παραλλαγή του που χρησιμοποιεί ψεύτικα Adobe installer popup.
Δείτε επίσης: Το QakBot (QBot) malware επέστρεψε – Νέα phishing επίθεση
Το QBot, λειτουργεί εδώ και πολλά χρόνια ως loader για διάφορα κακόβουλα φορτία, συμπεριλαμβανομένων κακόβουλων λογισμικών ransomware, που παραδίδονται κυρίως μέσω ηλεκτρονικού ταχυδρομείου στα θύματα.
Μέχρι την απενεργοποίησή του τον περασμένο Αύγουστο, το QBot είχε μολύνει πάνω από 700.000 συστήματα και μόνο σε 18 μήνες προκάλεσε οικονομικές ζημίες που εκτιμώνται σε περισσότερα από 58 εκατομμύρια δολάρια.
Με την κωδική ονομασία Duck Hunt, η επιχείρηση δεν προχώρησε σε καμία σύλληψη και πολλοί ερευνητές ασφαλείας πίστευαν ότι οι προγραμματιστές του Qbot θα ξαναχτίσουν την υποδομή τους και θα επανεκκινήσουν τις εκστρατείες διανομής.
Το περασμένο έτος, η Cisco Talos ανέφερε για μια επιχείρηση Qbot που είχε ξεκινήσει πριν από την κατάρριψή του, ήταν ακόμα ενεργή τον Οκτώβριο. Οι ερευνητές πιστεύουν ότι αυτό ήταν δυνατόν επειδή οι ερευνητές εξουδετέρωσαν μόνο τους διακομιστές ελέγχου και όχι την υποδομή παράδοσης ανεπιθύμητων μηνυμάτων.
Η νέα παραλλαγή του Qakbot χρησιμοποιεί βελτιωμένες τεχνικές ασαφοποίησης, συμπεριλαμβανομένης προηγμένης κρυπτογράφησης για την απόκρυψη συμβολοσειρών και επικοινωνίας εντολής και ελέγχου (C2). Συγκεκριμένα, το malware χρησιμοποιεί κρυπτογράφηση AES-256 πάνω από τη μέθοδο XOR που είδαμε και σε παλαιότερα δείγματα.
Δείτε ακόμα: Τα DarkGate και PikaBot malware γεμίζουν το κενό που άφησε το Qakbot (QBot)
Το malware ελέγχει το λογισμικό προστασίας τερματικού και επανεισάγει ελέγχους για εικονικά περιβάλλοντα, προσπαθώντας να αποφύγει την ανίχνευση εισερχόμενο σε έναν άπειρο βρόχο αν βρεθεί σε μία εικονική μηχανή.
Επιπλέον, η παραλλαγή του Qbot εμφανίζει ένα παραπλανητικό popup που υποδεικνύει ότι η εγκατάσταση του Adobe εκτελείται στο σύστημα, με σκοπό να εξαπατήσει τους χρήστες με παραπλανητικές ενημερώσεις εγκατάστασης που εκτελούν το malware, ανεξάρτητα από το που κάνουν κλικ οι χρήστες.
Οι ερευνητές της Sophos αναφέρουν ότι, παρακολουθώντας προσεκτικά την ανάπτυξη του QBot, μπορούν να ενημερώνουν τους κανόνες ανίχνευσής τους και να μοιράζονται κρίσιμες πληροφορίες με άλλους προμηθευτές ασφαλείας.
Παρά το γεγονός ότι ένας μικρός αριθμός δειγμάτων εμφανίστηκε μετά την αποσύνδεση της υποδομής C2 του Qbot πέρσι, οι ερευνητές πιστεύουν ότι “οποιαδήποτε δραστηριότητα από κακόβουλους δράστες για την επαναφορά του αξίζει παρακολούθηση και εξέταση“.
Δείτε επίσης: Το Formbook είναι το πιο ευρέως διαδεδομένο malware
Πώς μπορούμε να προστατευτούμε από το Qbot Malware;
Για να προστατευτείτε από το Qbot Malware, θα πρέπει πρώτα να διατηρείτε το λειτουργικό σύστημα και το λογισμικό σας ενημερωμένο. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αντιμετωπίσουν τις ευπάθειες που εκμεταλλεύεται το Qbot.
Επιπλέον, θα πρέπει να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα antivirus, το οποίο μπορεί να ανιχνεύσει και να αφαιρέσει το Qbot. Είναι σημαντικό να διατηρείτε αυτό το λογισμικό ενημερωμένο, καθώς οι νέες παραλλαγές του Qbot μπορεί να μην ανιχνεύονται από παλαιότερες εκδόσεις του λογισμικού ασφαλείας. Μια άλλη σημαντική στρατηγική είναι η εκπαίδευση στην αναγνώριση και αποφυγή των επιθέσεων phishing, τις οποίες συχνά χρησιμοποιεί το Qbot για να διαδώσει τον εαυτό του. Αυτό μπορεί να σημαίνει την εκμάθηση πώς να αναγνωρίζετε ύποπτα emails ή μηνύματα, και να αποφεύγετε να κάνετε κλικ σε συνδέσμους ή να ανοίγετε συνημμένα αρχεία από άγνωστες πηγές.
Τέλος, θα πρέπει να δημιουργείτε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας. Αν το σύστημά σας προσβληθεί από το Qbot, αυτό μπορεί να σας βοηθήσει να αποκαταστήσετε τα δεδομένα σας χωρίς να χρειάζεται να πληρώσετε για την αποκρυπτογράφηση.
Πηγή: bleepingcomputer
