QakBot в строю

Данный зловред "дебютировал" как банковский троянец. Эксперт по кибербезопасности "Лаборатории Касперского" Дмитрий Галов охарактеризовал данный зловред следующим образом: "Банковский троянец QakBot обнаружен в 2007 г. и с тех пор постоянно совершенствуется, приобретает новые функции. Он записывает нажатия клавиш, выполняет функции бэкдора и использует различные приемы для защиты от обнаружения. Из последних приобретённых функций стоит отметить способность к обнаружению виртуальных сред, регулярное самообновление и изменение схем шифрования и упаковки бинарного кода. Кроме того, QakBot старается защитить себя от анализа и отладки вручную или с помощью автоматизированных инструментов".

Основным каналом распространения QakBot является спам. Сам вредонос внедрен в прикрепленный к электронному письму файл в формате XLSB. Как отмечается в блоге "Лаборатории Касперского", долгое время распространение происходило через закрытый еще в начале 2021 г. ботнет Emotet, но уже к лету, как предупреждал эксперт по кибербезопасности "Лаборатории Касперского" Антон Кузьменко, авторы зловреда нашли альтернативные способы для его распространения. И уже к началу сентября количество заражений в мире достигло 17 тыс., из которых 10,5 тыс. пришлись на Россию.

Основная цель злоумышленников, использующих QakBot, как отмечает Дмитрий Галов, - кража учетных данных для входа в финансовые сервисы. Изначально QakBot применялся в основном для массовых атак, но при этом функционал троянца позволяет использовать его для более таргетированных историй. QakBot может шпионить за банковской деятельностью организации, распространяться по сети и устанавливать программы-шифровальщики.

Заместитель руководителя лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB Роман Резвухин обращает внимание и на такую особенность QakBot, как автоматический ответ на письма, которые содержаться в почте на зараженном компьютере: "Подобный способ распространения через ответы в уже существующих переписках является весьма эффективным с точки зрения социальной инженерии, так как повышает уровень доверия к e-mail-сообщению, отправленному злоумышленником".

"Однако такое "поведение" для вредоносного ПО подобного класса не ново и давно используется злоумышленниками. Что более интересно, данное семейство вредоносного ПО может распространяться как из-за заражения отдельного пользовательского компьютера с последующей компрометацией почтовой переписки, так и в результате взлома почтового сервера организации - например, через уязвимости ProxyLogon или ProxyShell. Второй способ позволяет злоумышленникам осуществлять рассылку сразу со многих почтовых адресов, что, несомненно, увеличивает потенциальное число новых заражений. Естественно, такие вредоносные кампании не отличаются таргетированным характером: по большей части рассылки ведутся регулярно и в отношении различных организаций, ведь основная цель ботнета - увеличение численности ботов, для развития возможностей доставки вредоносного ПО в будущем", - говорит Роман Резвухин.