Chociaż w ciągu ostatnich kilku lat firma Microsoft wykonała godną pochwały pracę, podejmując kroki w celu zwalczania złośliwego oprogramowania i zapobiegania jego spustoszeniu, w tym niedawnemu zakazowi uruchamiania makr w plikach pakietu Office pobranych z Internetu, wygląda na to, że cyberprzestępcy zawsze znajdują sposób, w jaki osławione złośliwe oprogramowanie Qbot teraz ewoluowało, aby nadal skutecznie zwalczać najnowsze oprogramowanie firmy Microsoft taktyka.
Według badań przeprowadzonych przez Black Lotus Labs, złośliwe oprogramowanie Qbot, które zaczęło jako trojan bankowy ponad dekadę temu, szybko dostosowało swoją sieć dystrybucji, metody wdrażania oraz polecenia i kontrolę (C2 ) serwer w odpowiedzi na zmiany Microsoftu. Ponadto cyberprzestępcy wprowadzili również nowe techniki uzyskiwania wstępnego dostępu w kampaniach phishingowych, takie jak wykorzystywanie złośliwych plików OneNote, unikanie Mark of the Web i przemyt HTML.
„Qakbot wykazał się odpornością, stosując zaradne podejście w budowaniu i rozwijaniu swojej architektury… demonstruje wiedzę techniczną, stosując różne metody początkowego dostępu i utrzymując solidną, ale wymijającą architekturę mieszkaniową C2”, czytamy w raporcie.
Większe możliwości adaptacyjne
Oprócz nowych metod wdrażania, operatorzy Qbot zmodyfikowali jak zarządzają swoimi serwerami C2, ponieważ zamiast polegać na hostowanych wirtualnych serwerach prywatnych (VPS), cyberprzestępcy ukrywają teraz serwery C2 na zaatakowanych serwerach internetowych i hostach w mieszkalnych przestrzeniach IP. Chociaż takie podejście skutkuje krótszą żywotnością serwerów, hakerzy mogą szybko zdobyć nowe. Około 90 nowych serwerów C2 jest uruchamianych co tydzień podczas cyklu spamu.
Ponadto konwersja botów na serwery C2 ma kluczowe znaczenie dla operacji Qbota. Dzieje się tak, ponieważ ponad 25% tych serwerów jest aktywnych przez jeden dzień, a połowa nie przetrwa dłużej niż tydzień. Dlatego przekonwertowane boty odgrywają kluczową rolę w uzupełnianiu zasobów serwera C2.
Co gorsza, raport stwierdza, że złośliwe oprogramowanie pozostanie poważnym zagrożeniem w dającej się przewidzieć przyszłości. „Obecnie nie ma oznak spowolnienia Qakbota”.