Hızla ilerleyen bankacılık trojanı bu sefer isim değiştirdi. QBOT Bankacılık Trojanı Kötü Amaçlı Yazılım Yaymaya Başladı.
Kaspersky’nin yeni bulgularına göre, yeni bir QBot kötü amaçlı yazılım saldırısı, şüpheli olmayan kurbanları kötü amaçlı yazılımı yüklemeleri için kandırmak için kaçırılan ticari yazışmalardan yararlanıyor.
4 Nisan 2023’te başlayan siber saldırılar öncelikle Almanya, Arjantin, İtalya, Cezayir, ispanya, ABD, Rusya, Fransa, İngiltere ve Fas’taki kullanıcıları hedef aldı.
QBot (diğer adıyla Qakbot veya Pinkslipbot), en az 2007’den beri aktif olduğu bilinen bir bankacılık truva atıdır. Web tarayıcılarından şifre ve çerez çalmanın yanı sıra cobalt strike veya fidye yazılımı gibi sonraki aşama yükleri enjekte etmek için bir arka kapı olarak ilerler.
Kimlik avı siber saldırıları aracılığıyla dağıtılan kötü amaçlı yazılım, kalıcı olarak sistemde kalmayı kalarak algılamayı önlemek için sanal makine önleme, hata ayıklamayı önleme ve sanal alan önleme tekniklerini içeren sürekli güncellemeler uygular.
İlginizi çekebilecek yazımız: En iyi 15 Etik Hacking Araçları |2023
Ayrıca, kontrol noktası başına Mart 2023 ayı için en yaygın kötü amaçlı yazılım olarak ortaya çıktı.
Kaspersky araştırmacıları, qbot’un dağıtım yöntemlerini açıklayarak, “Başlangıçta virüslü web siteleri ve korsan yazılımlar aracılığıyla dağıtıldı” dedi. “Artık bankacı, bilgisayarlarında, sosyal mühendisliklerinde ve spam postalarında bulunan kötü amaçlı yazılımlar aracılığıyla potansiyel mağdurlara teslim ediliyor.”
E-posta iş parçacığı kaçırma saldırıları yeni değil. Siber suçlular kendilerini mevcut iş görüşmelerine eklediklerinde veya daha önce güvenliği ihlal edilmiş e-posta hesapları tarafından toplanan bilgilere dayanarak yeni görüşmeler başlattıklarında ortaya çıkar.
Amaç, kurbanları kötü amaçlı bağlantılar veya kötü amaçlı ekler, bu durumda Microsoft Office 365 veya Microsoft Azure uyarısı gibi görünen ekteki bir PDF dosyası açmaya ikna etmektir.
Belgeyi açmak, virüs bulaşmış bir web sitesinden bir arşiv dosyasının alınmasına yol açar ve bu da kafası karışmış bir Windows Komut Dosyası (.DSF). Komut dosyası, kendi adına, uzak bir sunucudan kötü amaçlı dll’yi indiren bir PowerShell komut dosyası içerir. İndirilen DLL, QBot kötü amaçlı yazılımıdır.
Bulgular, Elastic Security Labs’ın Ajan Tesla ve xworm’u özel bir .NET tabanlı yükleyici aracılığıyla dağıtmak için silahlandırılmış Microsoft Word belgelerini kullanan çok aşamalı bir sosyal mühendislik kampanyası ortaya çıkarmasıyla ortaya çıktı.
Haber Kaynağı: The Hacker News