Một trong những phần mềm độc hại nguy hiểm nhất là mã độc Qbot đã trở lại với một chiến dịch mới. Trong chiến dịch mới này, mã độc Qbot giả mạo thông báo của các nền tảng đáng tin tưởng để đánh lừa người dùng của bạn; cụ thể là giả mạo thông báo của Windows Defender Antivirus.
Tìm hiểu về Qbot
Qbot Trojan đã gây khó khăn cho người dùng máy tính; và các doanh nghiệp trong hơn một thập kỷ qua. Tội phạm mạng đằng sau nó vẫn đang tìm ra những thủ thuật mới; để khiến nó trở thành một trong những mối đe dọa phần mềm độc hại phổ biến và thành công nhất. Kỹ thuật mới nhất được các nhà nghiên cứu bảo mật quan sát liên quan đến việc phần mềm độc hại tự chèn vào các chuỗi email hợp pháp của nạn nhân để phát tán.
Qbot, còn được gọi là Qakbot hoặc Pinkslipbot; khởi đầu là một Trojan ngân hàng tập trung vào việc đánh cắp thông tin xác thực ngân hàng trực tuyến. Tuy nhiên, kể từ đó nó đã được sử dụng cho nhiều mục đích bao gồm phân phối ransomware.
Một trong những thủ thuật đặc biệt khó chịu của Qbot là khi một máy bị nhiễm virus; nó sẽ kích hoạt một ‘mô-đun thu thập email’ đặc biệt để trích xuất tất cả các chuỗi email từ ứng dụng khách Outlook của nạn nhân; và tải nó lên một máy chủ từ xa được mã hóa cứng. Những email bị đánh cắp này sau đó được sử dụng cho các chiến dịch malspam trong tương lai; khiến người dùng dễ bị lừa nhấp vào các tệp đính kèm bị nhiễm.
Đầu năm 2020, Qbot tự chèn các chủ đề liên quan đến đại dịch COVID-19; lời nhắc thuế và tuyển dụng việc làm. Một phần ba các tổ chức được nhắm mục tiêu trong các chiến dịch mới là từ Mỹ; tuy vậy, các tổ chức từ châu Âu cũng bị ảnh hưởng nặng nề. Các ngành được nhắm mục tiêu nhiều nhất là chính phủ, quân đội; sản xuất, bảo hiểm, pháp lý, chăm sóc sức khỏe và ngân hàng.
Cách Qbot lây lan
Chuỗi lây nhiễm Qbot không quá phức tạp; và đã thay đổi kể từ tháng 4. Trước đây, các email spam gửi Qbot sử dụng các tài liệu độc hại có macro; nhưng giờ đây chúng chứa các URL tới tệp .zip có tập lệnh trình tải xuống bên trong được viết bằng VBScript (VBS). Loại tập lệnh này được sử dụng để thực thi nguyên bản trên Windows trong bối cảnh của Internet Explorer; vì nó là ngôn ngữ kịch bản do Microsoft phát triển. Tuy nó đã không được chấp nhận kể từ năm ngoái; sau khi bị những kẻ tấn công lạm dụng trong nhiều năm; nhưng những kẻ tấn công biết rằng nhiều doanh nghiệp vẫn sử dụng các phiên bản Windows; và Internet Explorer cũ đang thiếu các tính năng bảo mật; và bản cập nhật mới nhất.
Phần đáng chú ý nhất và mới nhất của chuỗi phân phối Qbot là chiếm quyền điều khiển chuỗi email; giúp tăng độ tin cậy cho các email spam. Ví dụ như một chuỗi email về tính liên tục trong kinh doanh trong thời kỳ COVID-19; hoặc câu trả lời cho một cuộc tuyển dụng việc làm; thông qua email tìm kiếm một nhà phát triển có kinh nghiệm về C #, Java và PowerShell. Đây đều là những vấn đề được mọi người quan tâm khá nhiều. Các URL bên trong các email giả mạo trỏ đến các tệp .zip được lưu trữ trên các trang web WordPress bị tấn công.
Kiến trúc mô-đun của Qbot
Phần mềm độc hại Qbot có dạng mô-đun với các thành phần riêng lẻ xử lý các tính năng khác nhau. Các mô-đun mới bao gồm:
Mô-đun được sử dụng để giao tiếp với các máy chủ điều khiển; kiểm soát lệnh và thực thi các lệnh nhận được từ nó
Mô-đun thu thập email để lấy cắp chuỗi email từ Outlook
Mô-đun nối để đưa các biểu mẫu web vào các phiên duyệt
Mô-đun đánh cắp mật khẩu
Một trình cắm VNC cho phép kẻ tấn công mở kết nối máy tính để bàn từ xa đến máy tính của nạn nhân
Mô-đun lấy cookie đánh cắp cookie xác thực từ các trình duyệt mà sau đó có thể được sử dụng để lấy cắp phiên
Mô-đun trình cập nhật
Mô-đun proxy
Các nhà nghiên cứu cho biết:
“Một khi nạn nhân đã bị lây nhiễm; máy tính của họ sẽ bị xâm phạm và chúng cũng là mối đe dọa tiềm tàng đối với các máy tính khác trong mạng cục bộ; vì khả năng di chuyển theo chiều ngang của Qbot”. “Phần mềm độc hại sau đó sẽ kiểm tra xem nạn nhân có thể là một bot tiềm năng như một phần của cơ sở hạ tầng của Qbot hay không.”
Những phát hiện mới nhấn mạnh rằng Qbot vẫn là một mối đe dọa nguy hiểm; thậm chí có thể nhiều hơn so với trước đây. Không có khả năng Trojan sẽ biến mất ngay khi tội phạm mạng kiểm soát nó vẫn quan tâm đến việc phát triển nó; và thêm các tính năng và kỹ thuật mới. Các tổ chức nên chú ý nhiều hơn đến việc lây nhiễm các bot như Emotet hoặc Qbot; vì chúng được sử dụng làm nền tảng phân phối các phần mềm độc hại khác; và thường đóng vai trò là cửa ngõ cho ransomware vào mạng công ty.
Mã độc Qbot giả mạo thông báo của Windows Defender Antivirus
Đây thực sự là phần mềm độc hại khó chịu; có thể đánh cắp mọi thứ của máy tính bị nhiễm; và có thể để ngỏ cho những kẻ tấn công quay lại mạng của bạn bất cứ khi nào chúng muốn.
Thông thường, nạn nhân sẽ bị lây nhiễm Qbot qua các email lừa đảo chứa đường link độc hại; hoặc các tập tin đính kèm nguy hiểm. Những kẻ đứng đằng sau Qbot thường gửi email giả như hóa đơn, chứng từ thanh toán và các mối quan tâm khác liên quan đến tài chính….. Qbot sẽ dùng email spam để phát tán các tập tin Excel (.xls). Khi mở các tập tin này, người dùng sẽ bị dụ ấn vào nút “Enable Content” để xem nội dung của tập tin. Tuy nhiên, thực chất đây là nút kích hoạt macro mã độc cài đặt Qbot lên máy tính của nạn nhân.
Mới đây, Qbot đã phát triển phương thức dụ dỗ của chúng lên một tầm cao mới. Chúng gửi tới cho nạn nhân các mẫu tài liệu giả mạo từ Windows Defender Antivirus báo rằng tài liệu này đã được mã hóa và đáng tin cậy. Người dùng cần nhấn vào “Enable Editing” hoặc “Enable Content” để giải mã bằng “Microsoft Office Decryption Core”.
Và đương nhiên, khi người dùng nhấp vào những nút trên, mã độc Qbot và Emotet sẽ được cài đặt trên máy của họ.
Với những người làm việc trong ngành an ninh mạng; quản trị viên IT hoặc những người hiểu biết về IT, cảnh báo trên có vẻ ‘ngớ ngẩn’. Nhưng với người dùng bình thường; nó đủ sức thuyết phục họ làm theo hướng dẫn và bị nhiễm Qbot.
Điều làm cho cuộc tấn công này trở nên thú vị là nội dung của tài liệu Excel. Kẻ xấu cần nạn nhân kích hoạt macro; và người dùng thường sẽ không rơi vào điều này. Nhưng cuộc tấn công mới nhất này sử dụng một bản trình bày đủ thuyết phục người dùng rằng có thể bật macro. Nó giả vờ là Windows Defender Antivirus và sử dụng một số biểu trưng của nhà cung cấp bảo mật để giúp tạo sự tin cậy rằng việc bật macro là “ổn”; Qbot dễ dàng đánh lừa thành công người dùng không nghi ngờ.
Vì vậy, người dùng cần được hướng dẫn qua đào tạo nhận thức về bảo mật rằng các tài liệu Office có tệp đính kèm không bao giờ được bật macro.
