Qakbot (он же Qbot или Pinkslipbot) – это банковский троян, впервые обнаруженный в 2008 году. Это самораспространяющийся вирус, предназначенный для кражи конфиденциальных данных в целевых сетях. Qakbot также предоставляет возможности удаленного выполнения кода (RCE), позволяя злоумышленникам вручную достигать второстепенных целей, таких как сканирование скомпрометированной сети или внедрение программ-вымогателей. Модули Qakbot позволяют автоматически перехватывать финансовые данные, локально сохраненные электронные письма, системные пароли или хэши паролей, пароли веб-сайтов и куки из кэша веб-браузеров. Злоумышленники также могут использовать Qakbot для кражи учетных данных путем регистрации нажатий клавиш.
В этой статье блога анализируются два новых вектора распространения, которые Qakbot использует для первоначального заражения целевых систем. С 2020 по 2022 год Qakbot использовал различные векторы заражения, возникающие в фишинговых кампаниях вредоносного ПО (Рисунок 1). Однако в последние месяцы Qakbot успешно заражал сети через файлы Microsoft OneNote (расширение файла .one) и файлы приложений HTML (расширение файла .hta).
Рисунок 1: Векторы распространения Qakbot
Проблемы обнаружения Qakbot
Qakbot регулярно обходит антивирусные системы (AV), что затрудняет его обнаружение. Вредоносная программа сохраняется в локальной системной среде и не расшифровывает свою полезную нагрузку или не исполняется в некоторых сценариях, например, при обнаружении виртуализации, некоторых продуктов безопасности или определенных ключей реестра Windows. Это позволяет Qakbot скрыть себя и не дает возможности сотрудникам службы безопасности обнаружить и проанализировать полезную нагрузку. Другой стратегией скрытности Qakbot является внедрение (или piggybacking) в процессы легитимных приложений.
Одним из потенциальных признаков компрометации Qakbot является несанкционированный ключ запуска в реестре Windows. Ключи запуска реестра облегчают автоматическое выполнение программ при входе пользователя в систему или при запуске системы. Qakbot использует эту функциональность для автоматического запуска, что способствует сохранению программы в системе. Однако Qakbot регулярно получает обновления в ответ на опубликованные исследования в области безопасности, что позволяет ему маскировать известные индикаторы компрометации (IOC) и затрудняет командам безопасности уверенный поиск этой угрозы.
Новейшие методы распространения
Самый эффективный способ отслеживания Qakbot — постоянно следить за новейшими векторами атак. В этом разделе описаны два новых метода распространения, которые были замечены в среде по состоянию на март 2023 года.
Метод 1: Распространение через файл OneNote
Файл .one – это записная книжка, созданная офисным приложением Microsoft OneNote. Эти файлы содержат один или несколько разделов, каждый из которых содержит страницы заметок. Файлы OneNote могут содержать текст, оцифрованный почерк, а также объекты, вставленные из других приложений — изображения, рисунки, аудио- или видеоклипы.
Кампании Qakbot, использующие вектор атаки OneNote, возникают как фишинговые электронные письма. В этой технике вредоносная программа маскируется под вложение файла .one. При взаимодействии пользователя с вложением начинается процесс заражения. Вредоносная программа сбрасывает свою исполняемую полезную нагрузку (файл .dat со случайным именем) на целевой путь через выполнение сценариев командной строки Windows и PowerShell. Qakbot PowerShell также отключает возможности Windows Defender по обнаружению в режиме реального времени. После успешного запуска файла полезной нагрузки инфекция Qakbot связывается со своим командно-контрольным (C2) сервером для обмена похищенными данными и создания дальнейших возможностей заражения.
Рисунок 2: Компонент PowerShell Dropper
Рисунок 3: Цепочка заражения Qakbot через файлы OneNote
Метод 2: Распространение через файл HTML-приложения
Расширение файла .hta – это формат файла, используемый в HTML-приложениях. HTML-приложения могут содержать гипертекстовый код, сценарии Visual Basic или JavaScript, в зависимости от настроек программы. Поскольку файлы .hta рассматриваются как самостоятельные программы, они могут выполняться вне контекста безопасности браузера. Поэтому они считаются доверенными приложениями. Текстовый формат .hta делает их доступными для редактирования любой программой, которая может редактировать обычный текст. По умолчанию для расширения .hta используется файл Microsoft HTML Application Host (mshta.exe). Эти файлы хранят исполняемый код, который может быть запущен из HTML-документа.
Как и большинство вредоносных программ, первоначальный вектор заражения Qakbot основан на спаме по электронной почте и взаимодействии с ничего не подозревающим пользователем. Когда пользователь открывает вложение с файлом .hta, встроенный вредоносный JavaScript служит в качестве загрузчика для сброса исполняемой полезной нагрузки (опять же, произвольно названного файла .dat) на целевой путь к файлу. После запуска файла полезной нагрузки инфекция Qakbot связывается со своим C2-сервером.
Рисунок 4: Цепочка заражения Qakbot через файлы приложений HTML
Последующие действия
После выполнения вредоносного .dat-файла он передает данные обратно на командно-контрольный сервер, расположенный по адресу (в данном случае) 139.99.117.17. Как показано на рисунке 5, это хорошо известный вредоносный хост.
Рисунок 5: Командный и управляющий сервер
После заражения системы Qakbot будет:
- Собирать информацию о зараженном узле.
- Создавать запланированные задачи для повышения привилегий и создания устойчивости.
- Собирать учетные данные.
- Сбрасывать учетные данные (доступ к файлу .exe).
- Кража паролей из истории браузера и файлов cookie.
- Целевые банковские веб-ссылки с помощью веб-инъекций.
- Выполнять перебор паролей.
- Манипулировать реестрами Windows для поддержания постоянства.
- Самовоспроизведение.
- Выполнять внедрение процессов для сокрытия своих операций.
MITRE ATT&CK Tactics & Techniques:
Fidelis Elevate обнаруживает банковского троянца Qakbot автоматически в рамках курируемых и собственных каналов сбора данных, которые обеспечивают понимание наиболее актуальных угроз. Кроме того, активное обнаружение угроз Fidelis Network может помочь сузить поиск, предоставляя информацию о точных ТТП MITRE ATT&CK, которые присутствуют в средах клиентов.
Оставайтесь в курсе событий благодаря ежемесячной сводке данных об угрозах
Каждый месяц команда Fidelis Cybersecurity Threat Research Team анализирует последние новости кибербезопасности, угрозы, уязвимости и эксплойты. Эти результаты публикуются в сводке Threat Intelligence Summary вместе с полезными ссылками и анализом, чтобы вы могли опережать угрозы.
Источник: New Variants of Qakbot Banking Trojan
