Bár az elmúlt néhány évben a Microsoft dicséretre méltó munkát végzett a rosszindulatú programok elleni küzdelem és pusztításuk megelőzése érdekében, beleértve a makrók internetről letöltött Office-fájlokban való futtatásának közelmúltbeli betiltását, úgy tűnik, hogy a fenyegetés szereplői mindig megtalálják. A hírhedt Qbot rosszindulatú program most fejlődött, hogy továbbra is hatékony legyen a Microsoft legújabb verzióival szemben. taktika.
A Black Lotus Labs kutatása szerint a Qbot kártevő, amely kezdetben banki trójaiként indult több mint egy évtizede, gyorsan átalakította terjesztési hálózatát, telepítési módszereit, valamint a parancs-és irányítási rendszert (C2 ) szerverre válaszul a Microsoft változásaira. Ezenkívül a fenyegetések szereplői új technikákat vezettek be az adathalász kampányok kezdeti hozzáféréséhez, például rosszindulatú OneNote-fájlok használatával, Mark of the Web-elkerüléssel és HTML-csempészettel.
„A Qakbot ellenálló képességéről tett tanúbizonyságot a találékony megközelítés alkalmazásával. építészetének felépítésében és fejlesztésében.. a különféle kezdeti hozzáférési módszerek alkalmazásával és egy robusztus, de kitérő lakóépületi C2 architektúra fenntartásával műszaki szakértelmet demonstrál” – olvasható a jelentésben.
Nagyobb alkalmazkodóképesség
Az új telepítési módszerek mellett a Qbot operátorok módosítottak hogyan kezelik a C2-szervereiket, mivel ahelyett, hogy a hostolt virtuális magánkiszolgálókra (VPS) támaszkodnának, a fenyegetések szereplői a C2-szervereket a veszélyeztetett webszervereken és a lakossági IP-területeken található gazdagépeken belül rejtik el. Bár ez a megközelítés rövidebb élettartamot eredményez a szerverek számára, a hackerek gyorsan szerezhetnek újat. Körülbelül 90 új C2-szerver jelenik meg hetente egy spamciklus során.
Továbbá a Qbot működése szempontjából kulcsfontosságú a robotok C2-szerverekké alakítása. Ennek az az oka, hogy ezeknek a szervereknek több mint 25%-a egy napig aktív, és fele egy hétnél tovább nem működik. Ezért az átalakított robotok létfontosságú szerepet játszanak a C2 szerver kínálatának feltöltésében.
A helyzetet rontja, a jelentés szerint a rosszindulatú program a belátható jövőben is jelentős fenyegetést jelent. „Jelenleg semmi jele annak, hogy Qakbot lelassulna.”