Вредоносная программа QBot, скрывающаяся внутри вредоносных установщиков Windows, преподносит неприятный сюрприз

взлом человека
Еще один день, еще одна угроза вредоносного ПО . Вы когда-нибудь замечали, как, когда вы открываете ссылку электронной почты, деньги на вашем банковском счете утекают? Этого не должно произойти, но если это произойдет, то, вероятно, благодаря новому методу распространения QBot.

Вы можете подумать: «Эй, я достаточно умен, чтобы знать, что мне не следует нажимать на сомнительные ссылки!», но это не значит, что эта тактика не работает. Разработчики вредоносных программ знали об этом много лет, и часто это предпочтительный способ доставки вредоносных программ. Что ж, распространители известного банковского трояна QBot решили прекратить использовать один из его распространенных методов распространения «сомнительных вложений Office» и начать рассылать людям zip-файлы с установщиками Windows в них. В частности, установщики MSI.


Microsoft провела исследование вредоносного ПО QBot в декабре 2021 года, отметив, что оно популярно среди распространителей вредоносных программ из-за своей модульной природы. Говоря, что из-за указанной модульной природы это позволяет дистрибьюторам выбирать наборы функций, что также позволяет им изменять их, чтобы их было труднее обнаружить. Исследователи безопасности, однако, считают, что этот шаг в методах распространения связан с тем, что Microsoft по умолчанию отключила VBscript в Microsoft Office .

QBot, по данным BleepingComputer , чаще всего используется в попытках повлиять на крупные корпорации. Это часто является предпочтительным вредоносным ПО для многих групп вымогателей, а также потому, что оно может атаковать учетные записи администратора Active Directory. Он также может распространяться внутри сетей. Это особенно неприятная часть работы. Некоторые распространенные методы атаки также сочетаются с тем, что выглядит как законная электронная почта от поддельной версии доверенного контакта. Они также могут выглядеть как «защищенные общие папки» и даже выглядеть как общие папки Google Диска, OneDrive или DropBox.
примеры сообщений
Лучшие способы защитить себя, а если вы системный администратор, — обучать своих пользователей. Подчеркните, что не следует нажимать на ссылки от неизвестных лиц, всегда дважды проверяйте поле «от» в своем электронном письме и следите за очевидными опечатками и неправильной грамматикой. Конечно, не открывайте вложения, если вы их не ожидаете, и определенно не открывайте никакие файлы или установщики, происхождение которых точно неизвестно. В большинстве организаций лучше придерживаться политики регулярной рассылки информации об этом.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал