QuackBot to niezbyt częsty, ale regularny trojan, pojawiający się w polskim internecie. Trzeba na niego bardzo, ale to bardzo uważać. Przede wszystkim skupia się na webinjectach, a w efekcie wykrada loginy i hasła do banków. Równocześnie, szkodnik dość skutecznie ukrywa się w systemie.

Co jeszcze potrafi QuackBot?

  • zbierać informacje o komputerze ofiary
  • wykradać hasła z przeglądarki i plików cookie
  • bruteforce’ować hasła
  • manipulować rejestrem

Co ciekawe, pierwsze próbki kampanii, które zaobserwowano datowane są na 26 września. Warto jednak zaznaczyć, że zaczęło się od podszywania się pod faktyczną konwersację mailową. W efekcie – najprościej mówiąc – przestępca miał dostęp do jednej ze stron konwersacji mailingowej na jakimś jej etapie.

Czytaj też: Uwaga na oszustwa na TikToku. Czy aplikację zhakowano?

QuackBot to niezbyt częsty, ale regularny trojan, pojawiający się w polskim internecie. Trzeba na niego bardzo, ale to bardzo uważać. Przede wszystkim skupia się na webinjectach, a w efekcie wykrada loginy i hasła do banków. Równocześnie, szkodnik dość skutecznie ukrywa się w systemie.

Jeśli z kolei mowa o samym procesie infekowania – z linku automatycznie pobierany jest plik zip. Standardowo jednak zabezpieczony jest hasłem, żeby automatyczne systemy bezpieczeństwa nie mogły go przeskanować w międzyczasie. Efektem rozpakowania jest więc plik ISO, a w nim plik skrót.

Czytaj też: Revolut zhakowany. 50 000 użytkowników straciło dane

Tymczasem, jeśli ofiara doszłaby aż tutaj – może być źle. Treść maila przeważnie zupełnie nie współgrała stylistycznie z poprzednią korespondencją.

Z kolei kliknięcie w plik skrót uruchamia taki ekran:

QuackBot to niezbyt częsty, ale regularny trojan, pojawiający się w polskim internecie. Trzeba na niego bardzo, ale to bardzo uważać. Przede wszystkim skupia się na webinjectach, a w efekcie wykrada loginy i hasła do banków. Równocześnie, szkodnik dość skutecznie ukrywa się w systemie.

Później pojawiają się polecenia i ostateczna komunikacja instalacji trojana QuackBot.

Serwery C&C:

179.111.23.186:32101
179.251.119.206:995
84.3.85.30:443
39.44.5.104:995
197.41.235.69:995
193.3.19.137:443
186.81.122.168:443
103.173.121.17:443
41.111.118.56:443
102.189.184.12:995
156.199.90.139:443
14.168.180.223:443
41.140.98.37:995
156.205.3.210:993
139.228.33.176:2222
134.35.12.0:443
49.205.197.13:443
131.100.40.13:995
217.165.146.158:993
73.252.27.208:995

Czytaj też: Nie kupuj przez WhatsAppa. Oszustwa na OLX znów uderzają

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *