Jesteś tutaj:-, Bezpieczeństwo, Inne, Newsy, Opinie ekspertów, Oprogramowanie, Raporty i prezentacje, Rynek-Botnet Qakbot znów atakuje – analiza Sophos

Botnet Qakbot znów atakuje – analiza Sophos

Botnet Qakbot znów jest aktywny i zagraża firmom. Według analityków firmy Sophos, ataki przeprowadzane z jego pomocą stają się coraz bardziej zaawansowane. Przestępcy „podłączają” się do istniejącej konwersacji w skrzynce e-mailowej ofiary i podszywają się na przykład pod klienta, a następnie zachęcają do otwarcia złośliwego załącznika. Po zainfekowaniu komputera botnet może wykradać hasła do banku, dane z kont, a nawet informacje o innych urządzeniach w pobliżu.

 

Od złośliwej faktury do kradzieży danych

W ostatnich miesiącach botnet Qakbot jest częściej wykorzystywany przez cyberprzestępców, ponieważ „konkurencyjne” oprogramowanie, takie jak Emotet i Trickbot, było blokowane przez organy ścigania i firmy technologiczne. Złośliwe załączniki oraz linki rozsyłane są za pomocą spamu. Cyberprzestępcy wstawiają swoje wiadomości w istniejące wątki na skrzynkach ofiary. E-mail zachęca do pobrania fałszywej faktury lub innego dokumentu Word lub Excel. Otwarcie takiego pliku i kliknięcie w opcję „Włącz edytowanie” powoduje zainfekowanie komputera złośliwym oprogramowaniem.

Po aktywowaniu, Qakbot szczegółowo skanuje konta użytkownika i komputer – zainstalowane programy, uprawnienia, uruchomione usługi oraz możliwość połączenia się z innymi urządzeniami znajdującymi się w pobliżu. Może wykradać hasła z przeglądarki i plików cookie, dane logowania do bankowości elektronicznej czy e-maileze skrzynki ofiary i przekazywać te informacje na serwer przestępców. Pozyskana w ten sposób lista kontaktów i wiadomości służy do rozsyłania spamu do kolejnych osób. Botnet używa zaawansowanego szyfrowania do ukrywania swoich działań, dlatego trudno go wykryć.

 

Sygnały ostrzegawcze – na co uważać?

Qakbot włącza się w prawdziwą konwersację e-mailową, dlatego dla potencjalnych ofiar może być trudne rozpoznanie czy wiadomość napisał klient lub kontrahent, czy też jest to próba ataku.

 

– Niezmiennie kluczowa jest ostrożność użytkowników. Wszelkie nietypowe lub nieoczekiwane e-maile powinny budzić podejrzenia, nawet jeśli wydają się być odpowiedzią na wcześniejsze wiadomości w ramach jednego wątku. Warto zwracać uwagę na wszelkie nieścisłości i błędy językowe. W ostatniej kampanii Qakbot charakterystyczne było użycie łacińskich fraz w adresach URL. Czasem może to też być też brak polskich znaków lub problemy z ich zapisem – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

 

Botnety często są wykorzystywane jako pierwsze stadium ataku ransomware, ich twórcy mogą też sprzedawać informacje i dostęp do naruszonych sieci innym przestępcom. Dlatego zespoły ds. bezpieczeństwa w firmach powinny na bieżąco monitorować sieć i usuwać wszelkie ślady złośliwego oprogramowania. Ważne jest też sprawdzanie czy stosowane rozwiązania ochronne zapobiegają takim infekcjom.

Zostaw komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.