Walaupun sejak beberapa tahun kebelakangan ini, Microsoft telah melakukan kerja yang membanggakan dalam mengambil langkah untuk memerangi perisian hasad dan mencegah kemusnahannya, termasuk larangan baru-baru ini pada makro daripada dijalankan dalam fail Office yang dimuat turun dari internet, nampaknya pelaku ancaman sentiasa mencari satu cara kerana perisian hasad Qbot yang terkenal kini telah berkembang untuk kekal berkesan terhadap perisian terkini Microsoft taktik.
Menurut penyelidikan yang dijalankan oleh Black Lotus Labs, perisian hasad Qbot, yang pada mulanya bermula sebagai trojan perbankan lebih sedekad yang lalu, telah dengan cepat menyesuaikan rangkaian pengedaran, kaedah penggunaan dan arahan dan kawalannya (C2 ) pelayan sebagai tindak balas kepada perubahan Microsoft. Selain itu, pelaku ancaman juga telah memperkenalkan teknik baharu untuk akses awal dalam kempen pancingan data, seperti menggunakan fail OneNote yang berniat jahat, Pengelakan Mark of the Web dan penyeludupan HTML.
“Qakbot telah menunjukkan daya tahan dengan menggunakan pendekatan yang bijak. dalam membina dan membangunkan seni binanya..ia menunjukkan kepakaran teknikal dengan menggunakan pelbagai kaedah akses awal dan mengekalkan seni bina C2 kediaman yang teguh lagi mengelak,”baca laporan itu.
Kebolehsuaian yang lebih baik
Selain kaedah penggunaan baharu, pengendali Qbot telah mengubah suai bagaimana mereka menguruskan pelayan C2 mereka, kerana bukannya bergantung pada pelayan peribadi maya (VPS) yang dihoskan, pelaku ancaman kini menyembunyikan pelayan C2 dalam pelayan web dan hos yang terjejas dalam ruang IP kediaman. Walaupun pendekatan ini menghasilkan jangka hayat yang lebih pendek untuk pelayan, penggodam boleh mendapatkan yang baharu dengan cepat. Kira-kira 90 pelayan C2 baharu dibawa setiap minggu semasa kitaran spam.
Selain itu, penukaran bot kepada pelayan C2 adalah penting untuk operasi Qbot. Ini kerana lebih 25% daripada pelayan ini aktif selama sehari, dan separuh tidak bertahan melebihi seminggu. Oleh itu, bot yang ditukar memainkan peranan penting dalam menambah bekalan pelayan C2.
Memburukkan lagi keadaan, laporan itu menyatakan bahawa perisian hasad akan berterusan sebagai ancaman penting untuk masa hadapan. “Pada masa ini tiada tanda-tanda Qakbot semakin perlahan.”
