Вредоносная программа Qbot, также известная как Qakbot, Quakbot или Pinkslipbot, представляет собой адаптивный банковский троян, который серьезно угрожает вашей безопасности.

Вредоносное ПО сейчас настолько распространено, что создаются целые «семейства» каждого вида. Это относится к Qbot, семейству вредоносных программ, которые используются для кражи данных. Но откуда взялся Qbot, насколько он опасен и можно ли держаться подальше?

Истоки Qbot

Как это часто бывает с вредоносными программами, Qbot (также известный как Qakbot, Quakbot или Pinkslipbot) был обнаружен только тогда, когда был обнаружен в дикой природе. С точки зрения кибербезопасности, «в дикой природе» относится к сценарию, в котором форма вредоносного ПО распространяется среди целевых устройств без разрешения пользователей. Считается, что Qbot работает по крайней мере с 2007 года, что делает его значительно более старой формой вредоносного ПО, чем многие популярные сегодня штаммы.

Многие формы вредоносных программ 2000-х годов больше не используются просто потому, что они недостаточно эффективны для борьбы с современными технологиями. Но Qbot здесь выделяется. На момент написания статьи Qbot работал не менее 16 лет, что является впечатляющим сроком службы для вредоносной программы.

instagram viewer

С 2007 года Qbot неоднократно использовался в дикой природе, хотя это также прерывалось периодами застоя. В любом случае, это по-прежнему популярный вариант среди киберпреступников.

Qbot развивался на протяжении многих лет и использовался многими хакерами по разным причинам. Qbot начинался как троян, программа, которая остается скрытой в, казалось бы, безобидных приложениях. Трояны могут использоваться для многих вредоносных целей, включая кражу данных и удаленный доступ. Qbot, в частности, ищет банковские учетные данные. По этой причине он считается банковским троянцем.

Но так ли это? Как Qbot работает сегодня?

Как работает Qbot?

Видимый сегодня Qbot представлен во многих различных формах, но в первую очередь троян для кражи информации. Как следует из названия, трояны infostealer предназначены для кражи ценных данных, таких как платежная информация, учетные данные для входа и контактные данные. В основном этот основной тип вредоносных программ Qbot используется для кражи паролей.

Также было замечено, что варианты Qbot проводят кейлоггеры, перехватывают процессы и даже атакуют системы через бэкдоры.

С момента своего создания в 2000-х годах Qbot был модифицирован для иметь бэкдор возможности, что делает его гораздо большей угрозой. Бэкдор — это, по сути, неофициальный способ проникновения в систему или сеть. Хакеры часто используют бэкдоры для проведения своих атак, так как это облегчает им проникновение. "Черный ход. Qbot» — это имя, данное этому варианту Qbot.

Первоначально Qbot распространялся через вредоносное ПО Emotet, еще одну форму троянца. В настоящее время Qbot обычно распространяется через вредоносные кампании по электронной почте через вложения. Такие кампании включают рассылку больших объемов спама сотням или даже тысячам получателей в надежде, что некоторые из целевых пользователей будут взаимодействовать.

Во вредоносных вложениях электронной почты Qbot обычно наблюдается как файл .zip, содержащий XLS-дроппер с макросами. Если получатель открывает вредоносное вложение, вредоносное ПО может быть развернуто на его устройстве, часто без его ведома.

Qbot также может распространяться через наборы эксплойтов. Это инструменты, которые помогают киберпреступникам в развертывании вредоносных программ. Наборы эксплойтов могут выявлять уязвимости безопасности в устройствах, а затем использовать эти уязвимости для получения несанкционированного доступа.

Но дело не ограничивается кражей паролей и бэкдорами. Операторы Qbot также сыграли большую роль в качестве брокеров начального доступа. Это киберпреступники, которые продают доступ к системе другим злоумышленникам. Что касается актеров Qbot, доступ был предоставлен некоторым огромным группам, включая REvil. программа-вымогатель как услуга организация. На самом деле, было замечено, что различные филиалы программ-вымогателей используют Qbot для начального доступа к системе, что дает этому вредоносному ПО еще одну интересную цель.

Qbot фигурирует во многих вредоносных кампаниях и используется в различных отраслях. Qbot стал мишенью медицинских организаций, банковских сайтов, государственных органов и производственных компаний. ТрендМикро сообщил в 2020 году, что 28,1 процента целей Qbot относятся к сфере здравоохранения.

Еще восемь отраслей, наряду с множеством других, также подпадают под целевой диапазон Qbot, в том числе:

  • Производство.
  • правительства.
  • Страхование.
  • Образование.
  • Технологии.
  • Нефти и газа.
  • Транспорт.
  • Розничная торговля.

TrendMicro также заявила в том же отчете, что в Таиланде, Китае и США было зарегистрировано наибольшее количество обнаружений Qbot в 2020 году. Другие распространенные места обнаружения включают Австралию, Германию и Японию, поэтому Qbot, очевидно, представляет собой глобальную угрозу.

Qbot существует уже много лет, потому что его тактика атак и уклонения постоянно совершенствуется, чтобы соответствовать современным мерам кибербезопасности. Разнообразие Qbot также делает его огромной опасностью для людей во всем мире, поскольку с помощью этой программы на них можно нацелиться разными способами.

Как избежать вредоносных программ Qbot

Практически невозможно избежать вредоносного ПО в 100% случаев. Даже самая лучшая антивирусная программа не может бесконечно защищать вас от атак. Но наличие антивирусного программного обеспечения, установленного на вашем устройстве, будет играть решающую роль в защите от вредоносных программ. Это следует считать первым шагом, когда речь идет о кибербезопасности. Ну и что дальше?

Поскольку Qbot обычно распространяется через спам-кампании, важно, чтобы вы знали о признаках вредоносной почты.

Существует множество красных флажков, которые могут сделать электронное письмо вредоносным, начиная с содержимого. Если новый адрес отправил вам электронное письмо, содержащее ссылку или вложение, разумно держаться подальше, пока вы не будете уверены, что ему можно доверять. Существуют различные сайты проверки ссылок вы можете использовать для проверки легитимности URL-адреса, чтобы знать, безопасно ли нажимать на него.

Вложения могут быть столь же опасны, как и ссылки, когда дело доходит до заражения вредоносным ПО, поэтому вам нужно быть осторожным с ними при получении электронных писем.

Существуют определенные расширения файлов вложений, которые, как правило, используются для распространения вредоносных программ, включая .pdf, .exe, .doc, .xls и .scr. Хотя это не единственные расширения файлов, используемые для заражения вредоносным ПО, они являются одними из наиболее распространенных типов, поэтому следите за ними, когда получаете прикрепленные файлы в своих электронных письмах.

Если вам когда-либо присылали электронное письмо от нового отправителя, в котором содержится ощущение срочности, вы также должны быть начеку. Киберпреступники, как правило, используют убедительный язык в своих сообщениях, чтобы подтолкнуть жертв к соблюдению требований.

Например, вы можете получить электронное письмо о том, что одна из ваших учетных записей в социальных сетях заблокирована из-за неоднократных попыток входа в систему. В электронном письме может быть ссылка, по которой вам нужно щелкнуть, чтобы войти в свою учетную запись и разблокировать ее, но в на самом деле это вредоносный сайт, предназначенный для кражи вводимых вами данных (в данном случае вашего логина реквизиты для входа). Итак, если вы получаете особенно убедительное электронное письмо, подумайте, не манипулируют ли вами, чтобы заставить его соблюдать правила, так как это вполне реальная возможность.

Qbot — основная форма вредоносного ПО

Повышение универсальности вредоносной программы почти всегда делает ее более опасной, и со временем диверсификация Qbot сделала ее опасной силой. Эта форма вредоносного ПО может продолжать развиваться с течением времени, и на самом деле неизвестно, какие возможности он адаптирует дальше.