Получите QBot

Злоумышленники распространяют троян QBot через деловую переписку.

Троян QBot в деловой переписке

В начале апреля эксперты «Лаборатории Касперского» зарегистрировали массовую кампанию по рассылке писем с вредоносным PDF-файлом внутри. В качестве жертвы злоумышленники в данном случае рассматривают бизнес — опасный документ прикрепляется к деловой переписке. Цель кампании — заразить компьютеры жертв зловредом QBot, также известным как QakBot, QuackBot и Pinkslipbot. Письма составлены на различных языках (мы видели экземпляры на английском, немецком, итальянском и французском). Интересно, что примерно год назад наши специалисты также наблюдали резкое увеличение потока писем, служащих для доставки зловредов (в том числе и того же QBot).

Как выглядит атака с точки зрения жертвы

В основе атаки лежит тактика перехвата переписки (conversation hijacking). Злоумышленники получают доступ к реальной деловой корреспонденции (QBot, помимо всего прочего, похищает локально сохраненные электронные письма у предыдущих жертв) и встраиваются в диалог, отправляя свои сообщения под видом продолжения старого разговора. К письму прикрепляют файл PDF, а в сопроводительном тексте убеждают открыть его, выдавая за смету расходов или заявление, требующее какой-то реакции.

На самом деле внутри PDF файла находится имитация уведомлений (чаще всего от Microsoft Office 365 или Microsoft Azure), убеждающих нажать на кнопку Open. Если жертва соглашается, то на ее компьютер скачивается запароленный архив (пароль услужливо оставляют в самом «уведомлении»). Далее от получателя ждут распаковки архива и запуска находящегося внутри файла .wsf (Windows Script File). Это вредоносный скрипт, загружающий с удаленного сервера зловред QBot. Более подробное техническое описание всех этапов атаки вместе с индикаторами компрометации можно найти в посте на сайте Securelist.

Чем грозит заражение QBot

Наши эксперты классифицируют QBot как банковский троян. Он позволяет злоумышленникам добывать учетные данные (логины и пароли) и файлы cookie из браузеров, воровать переписку, шпионить за банковской деятельностью и записывать нажатия клавиш. Также он может устанавливать другие вредоносы, например программы-шифровальщики.

Как оставаться в безопасности?

Чтобы ваша компания не пострадала от действий злоумышленников, мы рекомендуем установить надежную защиту на все корпоративные устройства, имеющие выход в Интернет. Также нелишне будет снабдить почтовый шлюз решением, обеспечивающим фильтрацию вредоносных, фишинговых и спам-писем. Ну а чтобы сотрудники могли самостоятельно различать уловки злоумышленников, необходимо регулярно повышать их осведомленность о современных киберугрозах.

Советы