Přestože Microsoft dosáhl v posledních letech značného pokroku v boji proti malwaru a prevenci jeho rizik, aktéři útoků se tomu přizpůsobují. Nechvalně známý malware Qbot nyní získal nové vlastnosti, které mu pomáhají vyhýbat se nejnovější bezpečnostní taktice Microsoftu.
Podle studie společnosti Black Lotus Labs autoři malwaru Qbot rychle přizpůsobili opatřením Microsoftu, která proti riziku nákazy nastavil. Jde především o distribuční síť, metody doručování a servery pro řízení a kontrolu (C2, command-and-control). Kromě toho útočníci také zavedli nové techniky počátečního přístupu ve phishingových kampaních. V nich zneužívají soubory přidané do OneNote, techniku obcházení antivirové detekce a spouštění trojanů pro vzdálený přístup (HTML smuggling) a obcházení ochrany počítače před nebezpečnými soubory, staženými z internetu (MOTW – Mark of the Web).
Malware Qbot se lépe přizpůsobuje ochranným opatřením Microsoftu
Autoři malwaru Qbot jej adaptovali na zpřísněná ochranná opatření Microsoftu. Zvýšilo se tak jeho riziko. Malware je zaměřený především na internetové bankovnictví a krádeže přístupových údajů. | Zdroj: snowing/Freepik
Kromě nových metod nasazení provozovatelé Qbotu také upravili správu serverů C2. Místo spoléhání na hostované virtuální privátní servery (VPS) útočníci skrývají C2 servery v kompromitovaných webových serverech a hostitelích na IP adresách, které jsou přidělené uživatelům internetu v jejich rezidenční oblasti.
Pro fungování Qbotu je také zásadní jejich transformace na C2 servery. Je to z toho důvodu, že více něž 25 % těchto serverů je aktivních pouze jeden den a polovina z nich nevydrží déle než týden. Proto hraje transformace důležitou roli při obnovování základny C2 serverů.
A co je na celé věci nejhorší: podle výsledků studie bude tento malware představovat významnou hrozbu i v dohledné budoucnosti. Podle autorů v současnosti nejsou žádné známky toho, že by Qbot nějak zpomaloval.
Zdroj: The Register
video
