Mặc dù trong vài năm qua, Microsoft đã thực hiện một công việc đáng khen ngợi trong việc thực hiện các bước để chống lại phần mềm độc hại và ngăn chặn sự tàn phá của phần mềm độc hại, bao gồm lệnh cấm macro chạy gần đây trong các tệp Office được tải xuống từ Internet, nhưng có vẻ như những kẻ đe dọa luôn tìm thấy theo cách mà phần mềm độc hại Qbot khét tiếng hiện đã tiến hóa để duy trì hiệu quả chống lại phần mềm độc hại mới nhất của Microsoft chiến thuật.
Theo nghiên cứu do Black Lotus Labs thực hiện, phần mềm độc hại Qbot, khởi đầu là một trojan ngân hàng hơn một thập kỷ trước, đã nhanh chóng điều chỉnh mạng phân phối, phương pháp triển khai cũng như lệnh và kiểm soát (C2 ) máy chủ để đáp ứng với những thay đổi của Microsoft. Ngoài ra, các tác nhân đe dọa cũng đã giới thiệu các kỹ thuật mới để truy cập ban đầu trong các chiến dịch lừa đảo, chẳng hạn như sử dụng tệp OneNote độc hại, trốn tránh Mark of the Web và buôn lậu HTML.
“Qakbot đã thể hiện khả năng phục hồi bằng cách sử dụng một phương pháp tháo vát trong việc xây dựng và phát triển kiến trúc của nó..nó thể hiện chuyên môn kỹ thuật bằng cách sử dụng nhiều phương thức truy cập ban đầu khác nhau và duy trì kiến trúc C2 dành cho khu dân cư mạnh mẽ nhưng khó hiểu,” báo cáo viết.
Khả năng thích ứng cao hơn
Bên cạnh các phương pháp triển khai mới, các nhà khai thác Qbot đã sửa đổi cách chúng quản lý các máy chủ C2 của mình, vì thay vì dựa vào các máy chủ riêng ảo (VPS) được lưu trữ, các tác nhân đe dọa hiện ẩn các máy chủ C2 trong các máy chủ và máy chủ web bị xâm nhập trong không gian IP dân cư. Mặc dù phương pháp này dẫn đến tuổi thọ của máy chủ ngắn hơn, nhưng tin tặc có thể nhanh chóng lấy được máy chủ mới. Khoảng 90 máy chủ C2 mới được đưa lên mỗi tuần trong chu kỳ thư rác.
Hơn nữa, việc chuyển đổi bot thành máy chủ C2 là rất quan trọng đối với hoạt động của Qbot. Điều này là do hơn 25% trong số các máy chủ này hoạt động trong một ngày và một nửa không tồn tại quá một tuần. Do đó, các bot đã chuyển đổi đóng một vai trò quan trọng trong việc bổ sung nguồn cung cấp máy chủ C2.
Tệ hơn nữa, báo cáo nói rằng phần mềm độc hại sẽ tồn tại như một mối đe dọa đáng kể trong tương lai gần. “Hiện không có dấu hiệu nào cho thấy Qakbot đang chậm lại.”
