Mi az a Qbot Malware család?

A rosszindulatú programok mára annyira elterjedtek, hogy mindenféle egész "családot" hoznak létre. Ez a helyzet a Qbot, egy rosszindulatú programcsalád esetében, amelyet adatok ellopására használnak. De honnan jött Qbot, mennyire veszélyes, és el tudod kerülni?

A Qbot eredete

A rosszindulatú programokhoz hasonlóan a Qbotot (más néven Qakbot, Quakbot vagy Pinkslipbot) csak a vadonban fedezték fel. Kiberbiztonsági szempontból a „vadon” olyan forgatókönyvet jelent, amelyben a rosszindulatú programok egy formája a felhasználók engedélye nélkül terjed a megcélzott eszközök között. Úgy gondolják, hogy a Qbot legalább 2007 óta működik, így a rosszindulatú programok jóval régebbi formája, mint sok mai népszerű törzs.

A 2000-es évek rosszindulatú programjainak számos formáját már nem használják, egyszerűen azért, mert nem elég hatékonyak a modern technológia leküzdésére. De Qbot itt kiemelkedik. A cikk írásakor a Qbot legalább 16 éve működik, ami lenyűgöző élettartama egy rosszindulatú programnak.

2007 óta többször is megfigyelték a Qbot használatát a vadonban, bár ezt is megszakították a stagnálási időszakok. Mindenesetre továbbra is népszerű lehetőség a kiberbűnözők körében.

A Qbot az évek során fejlődött, és számos hacker használta számos okból. A Qbot trójaiként indult, egy olyan program, amely rejtve marad a látszólag ártalmatlan alkalmazásokban. A trójaiak számos rosszindulatú célra felhasználhatók, beleértve az adatlopást és a távoli hozzáférést. A Qbot pontosabban a banki hitelesítő adatok után megy. Emiatt banki trójainak tekintik.

De ez még mindig így van? Hogyan működik ma a Qbot?

Hogyan működik a Qbot?

A ma látható Qbot sokféle formában létezik, de ez a legjelentősebb egy infolopó trójai. Ahogy a neve is sugallja, az infostealer trójaiakat arra tervezték, hogy értékes adatokat lopjanak el, például fizetési információkat, bejelentkezési adatokat és elérhetőségeket. Főleg a Qbot rosszindulatú programok ezen fő típusát használják jelszavak ellopására.

A Qbot-változatokat is megfigyelték, amelyek kulcsnaplózást, folyamatbekapcsolást, sőt rendszereket hátsó ajtókon keresztül támadnak meg.

A 2000-es években történt létrehozása óta a Qbot a következőre módosult hátsó ajtó képességekkel rendelkeznek, ami sokkal nagyobb fenyegetést jelent. A hátsó ajtó lényegében egy nem hivatalos módja a rendszerbe vagy hálózatba való behatolásnak. A hackerek gyakran hátsó ajtókat használnak támadásaik végrehajtásához, mivel ez könnyebben bejuthat. "Hátsó ajtó. Qbot" a név a Qbot ezen változatának.

Kezdetben a Qbot az Emotet kártevőn, a trójai egy másik formáján keresztül terjedt. Manapság a Qbot jellemzően rosszindulatú e-mail kampányokon keresztül terjed, mellékleteken keresztül. Az ilyen kampányok során nagy mennyiségű kéretlen levelet küldenek több száz vagy akár több ezer címzettnek, abban a reményben, hogy a megcélzott felhasználók némelyike ​​interakcióba lép.

A rosszindulatú e-mail-mellékleteken belül a Qbot-ot általában makróval terhelt XLS droppert tartalmazó .zip fájlként figyelték meg. Ha egy címzett megnyit egy rosszindulatú mellékletet, a rosszindulatú program telepítésre kerülhet az eszközén, gyakran a tudta nélkül.

A Qbot exploit kiteken keresztül is terjeszthető. Ezek olyan eszközök, amelyek segítik a kiberbűnözőket a rosszindulatú programok telepítésében. A kizsákmányoló készletek kiemelhetik az eszközökön belüli biztonsági réseket, majd visszaélnek a biztonsági résekkel, hogy jogosulatlan hozzáférést szerezzenek.

De a dolgok nem állnak meg a jelszólopással és a hátsó ajtókkal. A Qbot operátorok kezdeti hozzáférési brókerként is nagy szerepet játszottak. Ezek kiberbűnözők, akik rendszer-hozzáférést adnak el más rosszindulatú szereplőknek. A Qbot-szereplők esetében hozzáférést biztosítottak néhány hatalmas csoportnak, köztük a REvilnek ransomware-as-a-service szervezet. Valójában számos zsarolóprogram-leányvállalatot figyeltek meg, amely Qbotot használ kezdeti rendszer-hozzáférésként, ami újabb célt ad ennek a rosszindulatú programnak.

A Qbot számos rosszindulatú kampányban felbukkant, és számos iparág megcélzására szolgál. Egészségügyi szervezetek, banki webhelyek, kormányzati szervek és gyártócégek egyaránt célpontjai a Qbot. TrendMicro 2020-ban arról számolt be, hogy a Qbot célkitűzéseinek 28,1 százaléka az egészségügy területén található.

További nyolc iparág, számos egyéb iparág mellett szintén a Qbot céltartománya alá tartozik, többek között:

• Gyártás.
• kormányok.
• Biztosítás.
• Oktatás.
• Technológia.
• Olaj és gáz.
• Szállítás.
• Kiskereskedelem.

Ugyanebben a jelentésben a TrendMicro azt is kijelentette, hogy 2020-ban Thaiföldön, Kínában és az Egyesült Államokban észlelték a legtöbb Qbotot. További gyakori észlelési helyek Ausztrália, Németország és Japán voltak, így a Qbot nyilvánvalóan globális fenyegetést jelent.

A Qbot azért létezik olyan sok éve, mert támadási és kijátszási taktikái folyamatosan fejlődtek, hogy lépést tartsanak a modern kiberbiztonsági intézkedésekkel. A Qbot sokszínűsége óriási veszélyt jelent az emberekre szerte a világon, mivel ezzel a programmal sokféleképpen megcélozhatók.

Hogyan kerüljük el a Qbot rosszindulatú programokat

Gyakorlatilag lehetetlen az esetek 100 százalékában elkerülni a rosszindulatú programokat. Még a legjobb víruskereső program sem védhet meg a végtelenségig a támadásoktól. A víruskereső szoftver telepítése azonban kulcsfontosságú szerepet játszik a rosszindulatú programok elleni védelemben. Ezt kell az első lépésnek tekinteni, amikor a kiberbiztonságról van szó. Szóval mi a következő?

Mivel a Qbot általában spamkampányokon keresztül terjed, fontos, hogy tisztában legyen a rosszindulatú levelek jeleivel.

Számos piros zászló jelzi, hogy egy e-mail rosszindulatú, kezdve a tartalommal. Ha egy új címről küldött egy linket vagy mellékletet tartalmazó e-mailt, bölcs dolog elkerülni, amíg nem tudja biztosan, hogy megbízható. Vannak különféle link-ellenőrző oldalak segítségével ellenőrizheti egy URL hitelességét, hogy tudja, biztonságos-e a kattintás.

A mellékletek ugyanolyan veszélyesek lehetnek, mint a hivatkozások, ha rosszindulatú programokkal fertőződnek meg, ezért óvatosnak kell lenni velük az e-mailek fogadásakor.

Vannak bizonyos mellékletfájl-kiterjesztések, amelyeket általában rosszindulatú programok terjesztésére használnak, beleértve a .pdf, .exe, .doc, .xls és .scr fájlokat. Bár nem ezek az egyetlen fájlkiterjesztés, amelyet rosszindulatú programokkal való fertőzés esetén használnak, ezek a leggyakoribb típusok közé tartoznak, ezért ügyeljen rájuk, amikor csatolt fájlokat kap e-mailjeihez.

Ha valaha is olyan e-mailt kapott egy új feladótól, amely sürgősséget tartalmaz, akkor szintén vigyáznia kell. A kiberbűnözők hajlamosak meggyőző nyelvezetet használni kommunikációjuk során, hogy rábírják az áldozatokat a megfelelésre.

Például kaphat egy e-mailt arról, hogy az egyik közösségimédia-fiókját ismételt bejelentkezési kísérletek miatt zárolták. Az e-mailben kaphat egy linket, amelyre rá kell kattintania a fiókjába való bejelentkezéshez és a zárolás feloldásához, de be kell lépnie A valóságban ez egy rosszindulatú webhely, amelyet arra terveztek, hogy ellopja az Ön által megadott adatokat (ebben az esetben a bejelentkezési adatait hitelesítő adatok). Tehát, ha különösen meggyőző e-mailt kap, fontolja meg, hogy nem manipulálják-e Önt a megfelelőséggel, mivel ez nagyon is valós lehetőség.

A Qbot a rosszindulatú programok egyik fő formája

A rosszindulatú programok sokoldalúságának növelése szinte mindig nagyobb veszélyt jelent, és az idő múlásával a Qbot diverzifikációja veszélyes erővé tette. A rosszindulatú programok ezen formája az idő múlásával tovább fejlődhet, és valójában nem tudni, milyen képességeihez alkalmazkodik legközelebb.