Trojan Qbot (znany również jako Qakbot lub Pinkslipbot) nęka użytkowników i firmy od ponad dziesięciu lat. Jego autorzy wciąż wymyślają jednak nowe sztuczki, które czynią go jednym z najbardziej powszechnych i skutecznych zagrożeń. Szacuje się, że liczba jego ofiar sięga już 100 000.

Badacze ds. cyberbezpieczeństwa z Check Point opublikowali badania dotyczące nowego trendu. Użytkownicy Microsoft Outlook są podatni na moduł do zbierania i przechwytywania wątków e-mail na zainfekowanych urządzeniach – tak wynika z ich analizy.

Nowy wariant QBota jest dystrybuowany przez operatorów trojana Emotet. Specjaliści szacują, że jedna szczególnie duża kampania przeprowadzona w lipcu dotknęła około 5% organizacji na całym świecie.

Złośliwe oprogramowanie trafia na urządzenie za pośrednictwem dokumentów phishingowych zawierających URL do plików .ZIP, które obsługują VBS i wywołują złośliwy ładunek z jednego z sześciu zaszyfrowanych adresów URL.

Po zainfekowaniu komputera nowy „moduł do zbierania wiadomości e-mail” wyodrębnia wszystkie wątki e-mail z Outlooka i przesyła je na serwer C&C atakujących.

Następnie przestępcy wykorzystują przechwycone wątki do dalszej dystrybucji złośliwego oprogramowania. Dzięki temu czytelnicy maili nie podejrzewają zagrożenia i są bardziej skorzy do kliknięcia w zainfekowane załączniki. Śledzone tematy obejmują przypomnienia o płatności podatku, wiadomości rekrutacyjne oraz ostrzeżenia związane z COVID-19.

QBot jest w stanie śledzić aktywność użytkowników w sieci, kraść dane uwierzytelniające do kont bankowych, maili i inne cenne informacje. Jeden z modułów pobiera Mimikatz w celu zbierania haseł. Może również instalować złośliwe programy, w tym ransomware ProLock.

Źródło