Takie rzeczy tylko w internecie. Niedawno trafiła w internetowe ręce próbka, która po analizie okazała się być… trojanem QBot. O tyle jest to ciekawe, że historia tego złośliwego oprogramowania, o którym mowa, sięga aż 2008 roku! Nowa próbka to z kolei przykład tego, że przestępczość nie umiera. To, co przynosi zyski – zawsze zostanie w pamięci. Czasami jedynie odkłada się je na półkę z plakietką “ciąg dalszy nastąpi”.

QBot to całkiem rozbudowany wynalazek. O ile obecni przestępcy skupiają się przede wszystkim na wykradaniu poświadczeń logowania do bankowości… ten ma nieco większe możliwości. Mowa na przykład o doinstalowywaniu złośliwych modułów, odpowiedzialnych za wykradanie informacji o tym, co przycisnęliśmy – keylogger. 

Wrotami ataku jest e-mail. W odpowiednio dużej grupie jednak na pewno znajdzie się ktoś, kto kliknie w każdy załącznik, jaki tylko się mu dostarczy. Tymczasem, tym razem dość łatwo połapać się, że coś jest nie tak…

qbot

Dlaczego? Ano, przede wszystkim dlatego, że wstęp wita nas po angielsku. Reszta z kolei jest już po polsku. Czyżby to był test na inteligencję? Kiepski… Chociaż, cały na biało na końcu wchodzi oczywiście On… Załącznik! Załącznik w formie ZIP. 

Wszystkie ZIPY nasze są – śpiewa QBot

W międzyczasie w załączonym pliku ZIP znajduje się rozszerzenie doc. Tu z kolei inicjuje się złośliwe działanie oraz, później, pobiera kolejne elementy malware. Ten ostatni uruchamia przecież cały szereg sekwencji PowerShell w tzw. pętli “foreach”, która ma za zadanie pobierać pliki binarne.

Więc… bądźcie świadomi, że o ile mail z próbki może nas bawić – o tyle nie oznacza to, że przestępcy są wciąż w tamtych czasach… Ci potrafią się dostosować zarówno do realiów, jak i języka. W ostatnich miesiącach próby ataków przy użyciu QBot potwierdzono w przypadku aż 36 amerykańskich instytucji finansowych. Dodatkowo także dwóch banków w Kanadzie i USA. Dlatego… nie lekceważmy przeciwnika. Nigdy. Nawet po 12 latach…

Czytaj też: Oszustwo na buty za aplikację!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *