Angara Professional Assistance | Старый, но недобрый QakBot

Старый, но недобрый QakBot

Специалисты из Лаборатории Касперского поделились техническими подробностями одного из самых мощных на сегодняшний день банковского трояна QakBot, известного с 2007 года под разными названиями: QBot, QuackBot, Pinkslipbot.

С момента его раскрытия троян активно развивал свой функционал и пополнял арсенал возможностей. Теперь помимо основной своей цели – кражи банковских учетных данных – вредонос умеет не только шпионить за финансовыми операциями, самораспространяться и доставлять программы-вымогатели, но также регистрировать нажатия клавиш (кейлоггинг), применять методы уклонения от обнаружения и т.д.

Основной вектор заражения трояном – спам-кампании с использованием документов с вредоносным макросом, иногда полезная нагрузка QakBot передается жертве с использованием дропперов. Как правило, злоумышленники проводят предварительную разведку, чтобы принять решение о наиболее действенном векторе заражения.

Попав на устройство, часть полезной нагрузки QakBot (Stager) загружает в память, предварительно дешифровав, модуль Loader, который по мере выполнения программы постепенно дешифрует полезную нагрузку. После этого устанавливается связь с командным сервером, и злоумышленник может, например, отправить на зараженную машину вымогательское ПО.

Среди стандартной активности QakBot исследователи выделяют сбор характеристик зараженной машины, создание задач в планировщике для повышения привилегий и поддержания закрепления в системе, сбор ученых данных, брутфорс и другое.

Согласно статистике KSN, за период с января по июль 2021 года количество пользователей, затронутых атаками QakBot, выросло на 65% по сравнению с тем же периодом 2020 года.

«Червеподобное поведение QakBot позволяет трояну быстро распространяться по устройствам в сети организации, причем для инициализации вектора достаточно единственного скомпрометированного устройства. При совмещении с функционалом дроппера последующие заражения могут привести к полной потери контроля над информационной инфраструктурой организации, если в качестве вторичной полезной нагрузки окажется шифровальщик. Поэтому крайне важно оперативно выявлять подозрительную активность и вовремя принимать меры по предотвращению развития угрозы», – подтверждает Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.

Несмотря на то, что троян постоянно получает обновления, которые вместе с обогащением функционала оснащают QakBot возможностями для уклонения от средств защиты, поведенческий анализ позволяет обнаружить его вредоносную активность. Продукты Лаборатории Касперского, такие как KATA и KEDR, позволяют зафиксировать опасные действия банковского трояна на конечных устройствах. На базе этих решений Angara Professional Assistance предлагает услугу, в рамках которой эксперты Центра киберустойчивости Angara Cyber Resilience Center (SOC ACRC) осуществляют удаленный мониторинг, выявление и реагирование на инциденты информационной безопасности на критичных хостах.

За подробностями об услуге можно обратиться к разделам нашего сайта: «Сервисы по модели Managed Security Services (MSS)» (блок «Защита от APT-атак»). Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.