Mạng botnet Qbot hiện đang phát tán mã độc thông qua email lừa đảo với các tệp đính kèm dạng ZIP được bảo vệ bằng mật khẩu có chứa các tệp MSI Windows Installer độc hại.
Đây là lần đầu tiên những kẻ khai thác Qbot sử dụng kỹ thuật này, trước đó chúng sử dụng các email lừa đảo đính kèm tệp Microsoft Office có chứa các macro độc hại.
Động thái này có thể là một phản ứng đáp lại việc Microsoft công bố kế hoạch loại bỏ mã độc thông qua macro VBA Office vào tháng 2 sau khi vô hiệu hóa macro Excel 4.0 (XLM) theo mặc định vào tháng 1.
Microsoft đã bắt đầu triển khai tính năng tự động chặn macro VBA cho người dùng Office dành cho Windows vào đầu tháng 4 năm 2022 từ phiên bản 2203 trong Current Channel (bản Preview).
Vào tháng 12, Microsoft cho biết "kẻ tấn công đang sử dụng các phương pháp email khác nhau để triển khai mã độc Qakbot, các chiến dịch này có điểm chung là sử dụng macro độc hại trong tệp Office, đặc biệt là macro Excel 4.0".
Đây là một cải tiến bảo mật đáng kể nhằm bảo vệ người dùng Office vì việc sử dụng các macro VBA độc hại ẩn trong tệp Office là một phương pháp phổ biến để phát tán một lượng lớn các mã độc trong các cuộc tấn công lừa đảo, bao gồm Qbot, Emotet, TrickBot, và Dridex.
Qbot
Qbot (còn được biết là Qakbot, Quakbot và Pinkslipbot) là một trojan ngân hàng trên Windows, được phát hiện từ năm 2007 với các tính năng của ‘worm’, được thiết kế để lấy cắp thông tin xác thực ngân hàng, thông tin cá nhân và dữ liệu tài chính, cũng như cài cắm backdoor và triển khai mã độc Cobalt Strike trên các máy bị xâm nhập.
Nó có khả năng lây nhiễm sang các thiết bị khác trong cùng một mạng bằng cách khai thác các lỗ hổng trong mạng và tấn công brute-force nhắm vào các tài khoản quản trị Active Directory.
Qbot chủ yếu được sử dụng trong các cuộc tấn công có chủ đích nhắm vào các tổ chức doanh nghiệp.
Nhiều băng đảng ransomware, bao gồm REvil, Egregor, ProLock, PwndLocker và MegaCortex, cũng đã sử dụng Qbot để xâm phạm các mạng doanh nghiệp.
Vì sự lây nhiễm Qbot có thể dẫn đến gia tăng các mối đe dọa và các cuộc tấn công gây rối, các quản trị viên CNTT và chuyên gia bảo mật cần cảnh giác với phần mềm độc hại này, hiểu rõ các chiến thuật mà nó sử dụng cũng như kỹ thuật mà những kẻ khai thác botnet sử dụng để gửi nó đến các mục tiêu mới.
Một báo cáo của Microsoft từ tháng 12 năm 2021 cho thấy tính linh hoạt của các cuộc tấn công Qbot, khiến việc đánh giá phạm vi lây nhiễm của nó trở nên khó khăn hơn.
Nguồn: bleepingcomputer.com.
các
Tín nhiệm mạng | Hệ thống chuyển hướng lưu lượng truy cập Parrot đang lạm dụng các máy chủ lưu trữ khoảng 16.500 trang web để chuyển hướng mục tiêu đến các trang web lừa đảo và chứa phần mềm độc hại.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện bảy ứng dụng Android độc hại trên Cửa hàng Google Play giả dạng ứng dụng chống vi-rút để triển khai mã độc SharkBot.
Tín nhiệm mạng | Một kỹ thuật tấn công mới nhằm vào hệ thống sạc kết hợp (CCS) phổ biến có khả năng làm gián đoạn quá trình sạc xe điện trên quy mô lớn.
Tín nhiệm mạng | Phát hiện phần mềm gián điệp Android mới giả mạo dịch vụ Process Manager để lén lút lấy cắp thông tin nhạy cảm được lưu trữ trong các thiết bị bị nhiễm.
Tín nhiệm mạng | 'Spring4Shell', lỗ hổng zero-day mới trong Spring Core Java framework đã được tiết lộ công khai, cho phép thực thi mã từ xa mà không cần xác thực trên các ứng dụng.
Tín nhiệm mạng | Google đã phát hành phiên bản Stable Chrome 100 dành cho máy tính để bàn. Phiên bản này bao gồm một logo mới, các cải tiến bảo mật và các tính năng mới.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
