QakBot w natarciu – jak działa bankowy trojan i czy jest niebezpieczny?

CSIRT KNF ostrzega przed QakBotem

W pierwszej połowie grudnia 2021 roku CSIRT KNF ostrzegał przed kampanią malware, w ramach której rozsyłanie szkodliwych wiadomości odbywało się przy użyciu przejętych serwerów pocztowych. Charakterystyczną cechą kampanii było wykorzystanie przejętych serwerów w kontekście techniki reply-chain. Polega ona na rozsyłaniu wiadomości z historią konwersacji w treści, co sprawia wrażenie, że jest to kontynuacja korespondencji. W rezultacie niczego nieświadomy odbiorca może otrzymać np. wiadomość dystrybuującą złośliwe oprogramowanie, pochodzącą (jak mu się wydaje) od zaufanego nadawcy.

Potencjalnymi wektorami ataku, umożliwiającymi nieautoryzowany dostęp do serwera mogą być podatności np. ProxyShell, czy ProxyLogon. Sama dystrybucja złośliwego archiwum prowadzącego do pobrania QakBota może odbywać się na kilka sposobów. Wśród nich znajdziemy wiadomość zawierającą złośliwy link, e-mail z niebezpiecznym załącznikiem, jak również umieszczony w wiadomości element graficzny wyświetlający szkodliwy adres URL.

Kaspersky przyglądał się atakom w 2021 roku

Liczba użytkowników atakowanych trojanem bankowym QakBot wzrosła w pierwszych siedmiu miesiącach 2021 r. o 65 proc. (do niemal 17,5 tysiąca) w porównaniu z analogicznym okresem w ubiegłym roku. Ten wzrost aktywności skłonił badaczy z firmy Kaspersky do przeanalizowania zmian w nowych wersjach tego szkodliwego programu.

Po udanym zainfekowaniu urządzenia trojany bankowe pozwalają cyberprzestępcom kraść pieniądze z kont i e-portfeli ofiary i z tego powodu są uważane za jedne z najniebezpieczniejszych szkodliwych programów. QakBot został wykryty już w 2007 r. jako jeden z wielu trojanów bankowych, które się wówczas pojawiły. Jednak od tego czasu twórcy QakBota zainwestowali wiele zasobów w jego rozwój, czyniąc go jednym z najpotężniejszych i najniebezpieczniejszych szkodliwych narzędzi tego typu.

Czym jest trojan bankowy i czy może być groźny?Mikołaj Frączak

Jak działa QakBot?

Poza funkcjami typowymi dla trojanów bankowych, takich jak przechwytywanie znaków wprowadzanych z klawiatury, kradzież ciasteczek z przeglądarek czy przechwytywanie loginów i haseł, nowe wersje QakBota zostały wyposażone m.in. w technologie pozwalające na wykrywanie, czy został on uruchomiony w środowisku wirtualnym.

Tego typu środowiska są często wykorzystywane przez specjalistów ds. rozwiązań bezpieczeństwa i badaczy cyberzagrożeń w celu identyfikowania niebezpiecznych programów na podstawie ich zachowania. Jeżeli nowa wersja QakBota wykryje, że została uruchomiona w środowisku wirtualnym, może wyłączyć szkodliwe funkcje lub całkowicie wstrzymać swoje działanie. Ponadto QakBot stosuje także inne techniki chroniące go przed wykryciem i analizą.

Nietypowa funkcja Qakbota

Badacze z firmy Kaspersky wykryli jeszcze jedną nową, nietypową dla trojanów bankowych, funkcję QakBota — może on kraść e-maile z zainfekowanych maszyn. Skradzione wiadomości są następnie wykorzystywane w działaniach socjotechnicznych wycelowanych w osoby z listy kontaktów ofiary.

Nic nie wskazuje na to, by osoby stojące za QakBotem miały w najbliższej przyszłości zaprzestać swojej aktywności. Szkodnik nieustannie otrzymuje uaktualnienia i nowe możliwości w celu maksymalizacji zysków i pozyskiwania rozmaitych informacji z maszyn ofiar.

- Wcześniej śledziliśmy ataki QakBota realizowane z użyciem botnetu Emotet, który został pomyślnie zlikwidowany na początku bieżącego roku w ramach wspólnych działań badaczy i organów ścigania. Jednak obserwowany wzrost infekcji w ostatnich miesiącach pokazuje, że twórcy QakBota znaleźli nowy, efektywny sposób na dostarczanie swojego szkodliwego oprogramowania do kolejnych ofiar — powiedział Haim Zigel, analityk szkodliwego oprogramowania w firmie Kaspersky.

Źródło: CSIRT KNF, Kaspersky Lab

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.