Разработчики трояна добавили два новых вектора инфицирования.
ИБ-компания Varonis исследовала кибератаки, нацеленые на корпорации в США, Европе, Азии и Южной Америке, в которых злоумышленники использовали новую версию вредоносного ПО Qbot, предназначенного для кражи финансовой информации. Разработчики Qbot сохранили полиморфические функции, позволяющие избежать обнаружения, но добавили два новых вектора инфицирования.
Инфицировав сеть, троян осуществляет брутфорс-атаки на учетные записи пользователей из группы «Active Directory Domain Users». Вредоносное ПО фиксирует нажатия клавиш, сканирует все системные процессы на предмет связанных с банковскими операциями записей и крадет учетные данные.
Если предыдущие версии использовали вредоносный документ Microsoft Word для заражения системы, то новый вариант для этой цели применяет вредоносный VBS-файл. После запуска VBS-файл определяет версию ОС, установленную на компьютере жертвы, и сканирует систему на наличие распространенного антивирусного ПО (Windows Defender, Malwarebytes, Kaspersky, Trend Micro и прочие). Затем файл использует инструмент командной строки BITSAdmin для загрузки трояна Qbot (предыдущие версии Qbot использовали PowerShell).
Если на компьютере жертвы нет подключения к интернету, вредосная программа копирует себя в различные места на зараженном устройстве и продолжает работу. В случае отсутствия возможности отправки информации, Qbot будет хранится на компьютере в зашифрованном виде.
Специалисты обнаружили несколько C&C-серверов, имеющих отношение к Qbot, только к одному из них было подключено 40 тыс. компьютеров на базе Windows. Сервер содержал журнал записей с IP-адресами жертв, сведениями об ОС и названиями антивирусных продуктов. Данные, полученные с сервера, свидетельствовали об использовании во время атак как старых версий Qbot, так и новых. Как удалось выяснить специалистам, почти на всех зараженных устройствах был установлен Windows Defender. Около 90% зараженных компьютеров были расположены в США, менее 10% – в Великобритании.
