QakBot – banking trojan khét tiếng trở lại với nhiều kỹ thuật tinh vi hơn

1-9-2020 General Security News Security Daily 157

Theo nghiên cứu mới đây của Check Point, một banking trojan khét tiếng chuyên đánh cắp thông tin tài khoản ngân hàng cùng nhiều thông tin tài chính khác của người dùng, hiện đã trở lại với thủ đoạn mới tinh vi hơn và nhắm mục tiêu vào các cơ quan chính phủ, quân đội cùng các lĩnh vực sản xuất tại Mỹ và châu Âu.



Theo một phân tích được Check Point Research công bố hôm nay, làn sóng trở lại của Qbot dường như có mối liên hệ mật thiết với sự trở lại của Emotet vào tháng trước. Nó đã tái xuất với một phiên bản mới, cải tiến hơn, và có khả năng thu thập lén lút tất cả các chuỗi email từ tài khoản Outlook của nạn nhân nhằm sử dụng chúng cho các chiến dịch malspam sau này. Emotet là một mã độc email spam khét tiếng từng gây ra một loạt các cuộc tấn công botnet và ransomware trên toàn cầu.



“Qbot đã được phát triển và trở nên nguy hiểm hơn rất nhiều so với trước đây. Nó tạo ra một chiến dịch malspam nhằm lây nhiễm trên nhiều tổ chức, và tìm cách lợi dụng các cơ sở hạ tầng của một ‘bên thứ ba’ như Emotet để lan truyền rộng rãi mã độc của mình,” Check Point cho biết .



Sử dụng các chuỗi email hợp pháp để lừa nạn nhân



Được phát hiện lần đầu vào năm 2008, Qbot (hay còn gọi là QuakBot, QakBot hoặc Pinkslipbot) đã phát triển từ một công cụ đánh cắp thông tin thành một “con dao Thụy Sĩ đa năng ”, có khả năng phân phối nhiều loại mã độc khác nhau, bao gồm cả mã độc tống tiền Prolock . Nó thậm chí còn có thể thực hiện kết nối từ xa với một hệ thống Windows bị nhiễm độc và thực hiện các giao dịch ngân hàng từ địa chỉ IP của nạn nhân.



Những kẻ tấn công thường lây nhiễm hệ thống của nạn nhân bằng cách sử dụng các kỹ thuật lừa đảo phishing . Chúng sẽ dụ nạn nhân click vào những website sử dụng những phương thức khai thác để chèn mã độc Qbot thông qua một dropper .



Tháng 6 vừa qua, F5 Labs đã quan sát một cuộc tấn công malspam và phát hiện mã độc của nó được trang bị các kỹ thuật giúp tránh bị phát hiện và qua mắt các cuộc điều tra số forensic . Cũng mới vừa tuần trước, Morphisec đã phân tích một mẫu mã độc Qbot, được thiết kế với 2 tính năng mới, cho phép nó vượt qua được cả hệ thống giải phóng và tái thiết nội dung (CDR), cùng hệ thống phát hiện và phản hồi điểm cuối (EDR).



Chuỗi lây nhiễm được Check Point phân tích chi tiết cũng tuân thủ một mô hình tương tự.



Đầu tiên, chúng sẽ bắt đầu cuộc tấn công với một email phishing được tạo thủ công có chứa một file ZIP đính kèm hoặc một đường link đến một file ZIP có chứa một Visual Basic Script (VBS) độc hại. Sau đó, nó sẽ tiến hành tải xuống các payload bổ sung, giữ chức năng duy trì giao tiếp ổn định với máy chủ của kẻ tấn công và thực hiện các lệnh nhận được từ máy chủ đó.



Đáng chú ý là, các email phishing được gửi đến các nạn nhân không chỉ bao gồm các nội dung độc hại mà còn được chèn thêm các chuỗi email lưu trữ giữa hai bên để làm cho nó trở nên đáng tin hơn. Được biết các email này thường liên quan đến các chủ đề được quan tâm như COVID-19, nhắc nhở nộp thuế hay tin tuyển dụng việc làm.



Để đạt được điều này, kẻ tấn công sẽ thu thập trước các cuộc hội thoại bằng cách sử dụng một mô-đun thu thập email và trích xuất tất cả các chuỗi email từ tài khoản Outlook của nạn nhân và tải chúng lên một máy chủ từ xa được mã hóa cứng (hardcode).



Bên cạnh việc đóng gói các component (bộ phận) để lấy mật khẩu, cookie trình duyệt, và chèn mã JavaScript trên các trang web ngân hàng, những kẻ tấn công Qbot còn cho phát hành tới 15 phiên bản khác nhau của mã độc kể từ đầu năm nay, với phiên bản mới nhất được phát hành vào ngày 7 tháng 8.



Ngoài ra, Qbot còn đi kèm với một hVNC Plugin cho phép nó điều khiển máy của nạn nhân thông qua một kết nối VNC từ xa.



“Kẻ tấn công có thể thực hiện các giao dịch ngân hàng ngay trước mắt người dùng mà họ không hề hay biết, kể cả khi người dùng đang đăng nhập vào máy tính của mình,” Check Point lưu ý. “Mô-đun này chia sẻ bộ mã code có nhiều sự tương đồng với mô-đun hVNC của TrickBot.”



Từ một máy tính bị nhiễm độc trở thành một máy chủ điều khiển



Nhưng đó chưa phải là tất cả. Qbot còn được trang bị với một cơ chế riêng để thêm các máy bị nhiễm độc vào mạng botnet của nó, bằng cách sử dụng một mô-đun proxy cho phép máy tính bị nhiễm độc có thể được sử dụng như một máy chủ điều khiển.



Việc Qbot lợi dụng các chuỗi email hợp pháp để phát tán mã độc đã một lần nữa cho thấy tầm quan trọng trong việc cảnh giác các email lừa đảo phishing. Cho dù những email này có vẻ được gửi từ một nguồn đáng tin cậy, nhưng người dùng vẫn luôn cần hết sức cẩn trọng.



“Chúng tôi phát hiện ra rằng các phiên bản cũ hơn của mã độc vẫn có thể cập nhật thêm các tính năng mới. Điều này khiến chúng có thể duy trì tấn công vào hệ thống và trở thành một mã độc vô cùng nguy hiểm. Những kẻ tấn công đứng sau Qbot đang đầu tư rất nhiều công sức để phát triển mã độc này. Chúng muốn nó có thể đánh cắp dữ liệu trên một phạm vi lớn hơn và nhắm mục tiêu từ các tổ chức có quy mô lớn cho đến các cá nhân độc lập,” Yaniv Balmas, chuyên gia bảo mật của Check Point Research cho biết.



“Chúng tôi đã chứng kiến ​​các chiến dịch malspam trực tiếp phân phối Qbot. Và cũng phát hiện nó sử dụng các cơ sở hạ tầng lây nhiễm của bên thứ ba như Emotet để phát tán rộng rãi mã độc của mình,” Balmas cho biết thêm.



Theo The Hacker News
The post QakBot – banking trojan khét tiếng trở lại với nhiều kỹ thuật tinh vi hơn appeared first on SecurityDaily .
Read The Rest

Related News

All Rights Reserved VTC Security News
Infomation Security Team