QBot возвращается с новой волной заражений с использованием Squirrelwaffle

19
Весты близки к нормальной работе после атаки вымогателей

Активность банковского трояна QBot (также известного как Quakbot) снова резко возрастает, и аналитики из нескольких исследовательских фирм связывают это с ростом популярности Squirrelwaffle.

Squirrelwaffle появился в прошлом месяце как один из наиболее вероятных кандидатов на заполнение пустоты, оставшейся после закрытия Emotet, и, к сожалению, эти прогнозы быстро подтверждаются.

Новая волна атак

Исследователи TrendMicro наблюдали новую кампанию по распространению QBot, основанную на макросах Visual Basic Macros (VBA) в документах Microsoft Word, отправляемых в виде вложений в фишинговых электронных письмах.

В предыдущих кампаниях Qbot использовались макросы Excel, которые все еще присутствуют в некоторых случаях, даже если сейчас их стало меньше.

Жертве по-прежнему необходимо вручную открыть документ и «Включить контент» в своем пакете Microsoft Office, чтобы запустить макрокод, сбросив полезную нагрузку QBot в систему.

Остальная часть цепочки процессов не сильно изменилась по сравнению с предыдущими версиями, по-прежнему загружается файл DLL в качестве основной полезной нагрузки и устанавливается та же запланированная задача для сохранения, что и раньше.

Qbot также известен своим партнерством с программами-вымогателями, чтобы предоставить им первоначальный доступ к сети. Qbot ранее сотрудничал с вымогателями группировками для развертывания Revil, Эгрегора , ProLock , PwndLocker и штаммов MegaCortex.

Мы не должны забывать, что даже если эти компромиссы никогда не перерастут в события шифрования файлов, QBot может нанести значительный ущерб сам по себе.

Дополнительные модули, загружаемые вредоносным ПО QBot, могут захватывать файлы cookie браузера, пароли, электронные письма, отбрасывать Cobalt Strike, включать боковое перемещение и превращать зараженную машину в прокси для трафика C2.

Езда на белке

Sentinel Labs опубликовала отчет о росте популярности загрузчика вредоносных программ SquirrelWaffle, напрямую связав его с QBot, который выбрасывается как вредоносное ПО второго уровня.

SquirrelWaffle также использует макросы VBA для выполнения команды PowerShell, которая извлекает полезные данные и запускает их.

В отличии от Emotet, которые использовали широкий диапазон от фишинговых приманок , то SquirrelWaffle не делает большую работу , создавая убеждая спам — сообщения, сохраняя инфекции в чеке.

Создание более убедительных фишинговых писем можно поручить сторонним организациям или быстро решить, обратившись к специалисту в этой части фишинговых операций, что приведет к более значительному количеству заражений SquirrelWaffle.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here