• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Новая версия банковского трояна Qbot атакует корпорации в США и Европе

DOMINUS_EDEM

«EDEM CORP»

DOMINUS_EDEM

«EDEM CORP»
Куратор
Сообщения
152
Реакции
88
0 руб.
Telegram
Разработчики трояна добавили два новых вектора инфицирования.

ИБ-компания Varonis исследовала кибератаки, нацеленые на корпорации в США, Европе, Азии и Южной Америке, в которых злоумышленники использовали новую версию вредоносного ПО Qbot, предназначенного для кражи финансовой информации. Разработчики Qbot сохранили полиморфические функции, позволяющие избежать обнаружения, но добавили два новых вектора инфицирования.

Инфицировав сеть, троян осуществляет брутфорс-атаки на учетные записи пользователей из группы «Active Directory Domain Users». Вредоносное ПО фиксирует нажатия клавиш, сканирует все системные процессы на предмет связанных с банковскими операциями записей и крадет учетные данные.

Если предыдущие версии использовали вредоносный документ Microsoft Word для заражения системы, то новый вариант для этой цели применяет вредоносный VBS-файл. После запуска VBS-файл определяет версию ОС, установленную на компьютере жертвы, и сканирует систему на наличие распространенного антивирусного ПО (Windows Defender, Malwarebytes, Kaspersky, Trend Micro и прочие). Затем файл использует инструмент командной строки BITSAdmin для загрузки трояна Qbot (предыдущие версии Qbot использовали PowerShell).

Если на компьютере жертвы нет подключения к интернету, вредосная программа копирует себя в различные места на зараженном устройстве и продолжает работу. В случае отсутствия возможности отправки информации, Qbot будет хранится на компьютере в зашифрованном виде.

Специалисты обнаружили несколько C&C-серверов, имеющих отношение к Qbot, только к одному из них было подключено 40 тыс. компьютеров на базе Windows. Сервер содержал журнал записей с IP-адресами жертв, сведениями об ОС и названиями антивирусных продуктов. Данные, полученные с сервера, свидетельствовали об использовании во время атак как старых версий Qbot, так и новых. Как удалось выяснить специалистам, почти на всех зараженных устройствах был установлен Windows Defender. Около 90% зараженных компьютеров были расположены в США, менее 10% - в Великобритании.
 
Сверху Снизу