Qbot bank troyanining yangi versiyasi AQSh va Yevropadagi korporatsiyalarga qaratilgan.
Troyan ishlab chiquvchilari ikkita yangi infeksiya vektorini qo’shdilar.
Varonis xavfsizlik firmasi AQSh, Yevropa, Osiyo va Janubiy Amerikadagi korporatsiyalarga qaratilgan kiberhujumlarni tekshirdi, unda hujumchilar moliyaviy ma’lumotlarni o’g’irlash uchun mo’ljallangan Qbot zararli dasturining yangi versiyasidan foydalanishdi. Qbot ishlab chiquvchilari aniqlanmaslik uchun uning polimorfik xususiyatlarini saqlab qolishdi, ammo ikkita yangi infeksiya vektorini qo’shdilar. Tarmoqni yuqtirgandan so’ng, troyan «Active Directory domen foydalanuvchilari» guruhiga tegishli foydalanuvchi akkauntlariga qo’pol kuch hujumlarini amalga oshiradi. Zararli dastur tugmachalarni bosishlarni qayd etadi, bank bilan bog’liq yozuvlarni tekshirish uchun barcha tizim jarayonlarini skanerlaydi va hisob ma’lumotlarini o’g’irlaydi.
Avvalgi versiyalar tizimni zararli Microsoft Word hujjatidan yuqtirgan bo’lsa, yangi variant zararli VBS faylidan foydalanadi. Ishga tushirilgandan so’ng, VBS fayli jabrlanuvchining kompyuteriga o’rnatilgan OT versiyasini aniqlaydi va tizimni keng tarqalgan antivirus dasturlari (Windows Defender, Malwarebytes, Kaspersky, Trend Micro va boshqalar) uchun skanerlaydi. Keyin fayl Qbot troyanini yuklab olish uchun BITSAdmin buyruq satri vositasidan foydalanadi (Qbotning oldingi versiyalari PowerShelldan foydalangan).
Если на компьютере жертвы нет подключения к интернету, вредосная программа копирует себя в различные места на зараженном устройстве и продолжает работу. В случае отсутствия возможности отправки информации, Qbot будет хранится на компьютере в зашифрованном виде.
Mutaxassislar Qbot bilan bog’langan bir nechta C&C serverlarini aniqladilar, ulardan bittasida 40 000 ta Windows kompyuteri ulangan edi. Serverda jabrlanuvchilarning IP-manzillari, operatsion tizim ma’lumotlari va antivirus mahsulot nomlari jurnali mavjud edi. Serverdan olingan ma’lumotlar shuni ko’rsatdiki, hujumlar paytida Qbotning eski va yangi versiyalari ishlatilgan. Mutaxassislar shuningdek, Windows Defender deyarli barcha zararlangan qurilmalarga o’rnatilganligini aniqladilar. Zararlangan kompyuterlarning taxminan 90% AQShda, 10% dan kamrog’i esa Buyuk Britaniyada joylashgan edi.
