Trojan Qbot krade e-maily a zneužívá je k dalším útokům, útočit může i v ČR

Výzkumníci z Check Pointu v posledních měsících objevili několik kampaní, které využívají novou verzi trojanu Qbot. V jedné z kampaní byl Qbot šířen bankovním trojanem Emotet, který dokáže krást data odposloucháváním síťového provozu, což ukazuje na novou techniku distribuce malwaru Qbot. Qbot je nyní multifunkční, a proto ještě nebezpečnější. Umí například:

• Krást informace. Krade informace z infikovaných počítačů, včetně hesel, e-mailů, údajů o kreditních kartách atd.
• Instalovat ransomware. Instaluje na napadených počítačích další škodlivé kódy, včetně ransomwaru.
• Provádět neoprávněné bankovní transakce. Útočníci se mohou připojit k počítači oběti (i když je postižený přihlášen) a provádět bankovní transakce z IP adresy oběti

i Zdroj: PCTuning.cz

Infekční řetězec začíná zasláním speciálně vytvořených e-mailů vytipovaným organizacím nebo jednotlivcům. Každý e-mail obsahuje odkaz na soubor ZIP se škodlivým VBS (Visual Basic Script) souborem, který obsahuje kód spustitelný v systému Windows.

Jakmile je počítač infikován, Qbot aktivuje speciální „modul pro sběr e-mailů“, který extrahuje všechna e-mailová vlákna z Outlooku oběti a nahraje je na vzdálený server. Ukradené e-maily jsou pak využívány pro budoucí malspamové kampaně, což umožňuje jednoduše nalákat uživatele, aby klikli na infikované přílohy, protože se zdá, že spam navazuje na stávající legitimní e-mailovou konverzaci. Check Point zaznamenal příklady, kdy ukradené e-maily byly použity k cíleným útokům a zneužívaly témata jako COVID-19, připomenutí plateb daní nebo nábor nových zaměstnanců.

Hlavním cílem útoků malwaru Qbot byly zatím Spojené státy (téměř 29 % všech detekovaných útoků). 7 % útoků bylo shodně na Indii, Izrael a Itálii. „Útoky se zaměřují na organizace i jednotlivce a cílem je shromáždit co nejvíce citlivých údajů,“ uzavírá zpráva Check Point.