لطالما ابتلي Qbot Trojan مستخدمي الكمبيوتر والشركات لأكثر من عقد من الزمان ، ولا يزال مجرمو الإنترنت الذين يقفون وراءه يبتكرون حيلًا جديدة تجعله أحد أكثر تهديدات البرامج الضارة انتشارًا ونجاحًا. تتضمن أحدث التقنيات التي لاحظها الباحثون الأمنيون قيام البرامج الضارة بإدخال نفسها في سلاسل البريد الإلكتروني الشرعية لضحاياها لنشرها.
بدأ Qbot ، المعروف أيضًا باسم Qakbot أو Pinkslipbot ، باعتباره حصان طروادة مصرفي يركز على سرقة بيانات اعتماد الخدمات المصرفية عبر الإنترنت ، لكنه تطور منذ ذلك الحين إلى “سكين الجيش السويسري” الذي يستخدم لأغراض متنوعة بما في ذلك توزيع برامج الفدية ، وفقًا لباحثين من شركة أمنية تحقق من شركة Point Software Technologies التي تتبعت أحدث حملات البرامج الضارة.
قرب نهاية الشهر الماضي ، بدأ توزيع نسخة جديدة من Qbot بواسطة حصان طروادة آخر يسمى Emotet كجزء من حملة بريد عشوائي جديدة أثرت على العديد من المنظمات في جميع أنحاء العالم. أظهر هذا المتغير الجديد ميزات جديدة وبنية تحتية جديدة للقيادة والتحكم. استمر هذا مع حملة توزيع Qbot متجددة في وقت سابق من هذا الشهر.
“إحدى حيل Qbot الجديدة سيئة بشكل خاص ، فبمجرد إصابة الجهاز ، فإنه ينشط” وحدة تجميع البريد الإلكتروني “الخاصة التي تستخرج جميع سلاسل رسائل البريد الإلكتروني من عميل Outlook الخاص بالضحية ، وتحميلها إلى خادم بعيد مشفر” ، نقطة التحقق قال باحثون في تقرير جديد. “يتم بعد ذلك استخدام رسائل البريد الإلكتروني المسروقة هذه في حملات malspam المستقبلية ، مما يسهل على المستخدمين خداعهم للنقر على المرفقات المصابة لأن البريد الإلكتروني العشوائي يبدو أنه يواصل محادثة بريد إلكتروني شرعية موجودة.”
لقد شاهدت الشركة سلاسل رسائل بريد إلكتروني مختطفة أدخل فيها Qbot نفسه مع مواضيع تتعلق بجائحة COVID-19 والتذكيرات الضريبية والتوظيفات الوظيفية. ثلث المنظمات المستهدفة في الحملات الجديدة كانت من الولايات المتحدة ، لكن المنظمات من أوروبا تأثرت بشدة أيضًا. كانت الصناعات الأكثر استهدافًا هي الحكومة والجيش والتصنيع والتأمين والقانون والرعاية الصحية والبنوك.
كيف ينتشر Qbot
سلسلة العدوى Qbot ليست معقدة للغاية وقد تغيرت منذ أبريل. في الماضي ، كانت رسائل البريد الإلكتروني العشوائية التي سلمت Qbot تستخدم مستندات ضارة تحتوي على وحدات ماكرو ، ولكنها الآن تحتوي على عناوين URL لملف .zip يحتوي على نص برمجي للتنزيل مكتوب في VBScript (VBS). يستخدم هذا النوع من البرامج النصية للتنفيذ أصلاً على Windows في سياق Internet Explorer حيث إنها لغة برمجة نصية طورتها Microsoft ، ولكن تم إهمالها منذ العام الماضي بعد إساءة استخدامها من قبل المهاجمين لسنوات. ومع ذلك ، يعرف المهاجمون أن العديد من الشركات لا تزال تستخدم الإصدارات القديمة من Windows و Internet Explorer التي تفتقر إلى أحدث ميزات الأمان والتحديثات.
يحتوي برنامج تنزيل VBS الذي تستخدمه Qbot على إجراءات تكتشف الأجهزة الافتراضية وتحلل صناديق الحماية وتسحب حمولة exe من ستة عناوين URL مشفرة. إذا تم تنفيذ الحمولة بنجاح ، فإنها تنشر برنامج Qbot الضار على الكمبيوتر.
الجزء الأحدث والأكثر جدارة بالملاحظة من سلسلة توزيع Qbot هو اختطاف سلسلة رسائل البريد الإلكتروني ، مما يزيد من مصداقية رسائل البريد الإلكتروني العشوائية. تتضمن الأمثلة التي قدمتها Check Point سلسلة رسائل بريد إلكتروني حول استمرارية الأعمال خلال COVID-19 ، وهو موضوع من المحتمل أن تهتم به العديد من المؤسسات. وكان الآخر هو الرد على التوظيف عبر البريد الإلكتروني الذي يبحث عن مطور لديه خبرة في C # و Java و PowerShell . أشارت عناوين URL الموجودة داخل رسائل البريد الإلكتروني المارقة إلى ملفات .zip مستضافة على مواقع WordPress التي تم اختراقها.
العمارة المعيارية في Qbot
يعد برنامج Qbot الضار معياريًا بمكونات فردية تتعامل مع ميزات مختلفة. تشمل الوحدات الجديدة التي حددها باحثو Check Point ما يلي:
- وحدة تستخدم للاتصال بخوادم القيادة والتحكم وتنفيذ الأوامر الواردة منها
- وحدة تجميع البريد الإلكتروني لسرقة سلاسل رسائل البريد الإلكتروني من Outlook
- وحدة ربط لحقن نماذج الويب في جلسات التصفح
- وحدة سرقة كلمة المرور
- مكون إضافي لـ VNC يسمح للمهاجمين بفتح اتصالات سطح المكتب البعيد بأجهزة كمبيوتر الضحايا
- وحدة التقاط ملفات تعريف الارتباط التي تسرق ملفات تعريف ارتباط المصادقة من المتصفحات التي يمكن استخدامها بعد ذلك لاختطاف الجلسات
- وحدة التحديث
- وحدة وكيل
وقال الباحثون “بمجرد إصابة الضحية ، يتم اختراق جهاز الكمبيوتر الخاص بهم ، كما أنهم يشكلون تهديدًا محتملاً لأجهزة الكمبيوتر الأخرى في الشبكة المحلية بسبب قدرات الحركة الجانبية لـ Qbot”. “يتحقق البرنامج الضار بعد ذلك مما إذا كان الضحية يمكن أن يكون أيضًا روبوتًا محتملاً كجزء من البنية التحتية لـ Qbot.”
تسلط النتائج الجديدة الضوء على أن Qbot لا يزال يمثل تهديدًا خطيرًا ، وربما حتى أكثر مما كان عليه من قبل. من غير المحتمل أن يختفي حصان طروادة في أي وقت قريبًا حيث يظل مجرمو الإنترنت الذين يتحكمون به مهتمين بتطويره وإضافة ميزات وتقنيات جديدة. يجب أن تولي المؤسسات اهتمامًا متزايدًا للإصابات التي تصيب برامج الروبوت مثل Emotet أو Qbot لأنها تُستخدم كمنصات توزيع للبرامج الضارة الأخرى وغالبًا ما تكون بمثابة بوابة لبرامج الفدية في شبكات الشركات.
حقوق النشر © 2020 IDG Communications، Inc.