Эта вредоносная программа для кражи паролей Qakbot только что разработала плащ-невидимку


У широко используемого банковского троянца , сеющего хаос в дикой природе уже более десяти лет, появилась новая способность. Было обнаружено, что троянец, получивший название Qakbot (или сокращенно Qbot), использует обновленный механизм сохраняемости, который может затруднить пользователям обнаружение и последующее удаление из зараженных систем, говорят исследователи безопасности.
В зараженных системах Qakbot пытается украсть учетные данные для входа в систему с конечной целью опустошения банковского счета жертвы. Он делает это, используя запланированные задачи для поддержания постоянства. Однако эти задачи были обновлены, чтобы избежать обнаружения, что делает и без того надоедливую вредоносную программу еще более надоедливой.

«Жертвы этого вредоносного ПО обычно заражаются через дроппер. После заражения компьютер-жертва создает запланированную задачу. Эта задача запускает загрузчик JavaScript, который делает запрос к одному из нескольких захваченных доменов», — объясняют исследователи из Cisco Talos Intelligence Group. .
Домены, которые использует загрузчик, шифруются XOR в начале процедуры JavaScript. Впоследствии ответ на запрос представляет собой запутанные данные, которые разделяются и сохраняются в два отдельных файла, что может позволить вредоносному ПО остаться незамеченным.

«Затем эти файлы расшифровываются и собираются заново с помощью команды type. Обнаружение, направленное на просмотр полной передачи вредоносного исполняемого файла, скорее всего, пропустит эту обновленную версию Qakbot», — объясняют исследователи.
Исследователи говорят, что они заметили всплеск запросов к захваченным доменам 2 апреля, дата, которая примерно совпадает с изменениями в командной строке Qakbot — считается, что преступники обновили код 15 марта, а затем начали новую кампанию атаки. .
Использование вычислений, основанных на здравом смысле, и основных методов обеспечения безопасности может защитить компании от подобных вещей. И, конечно же , Cisco кровно заинтересована в привлечении внимания к этому, поскольку компания указывает, что ее решения Advanced Malware Protection (AMP), Cisco Cloud Web Security (CWS) и Web Security Appliance (WSA) могут предотвратить этот тип. нападения.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал