شناسایی نسخه جدید بدافزار Qbot

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت چک پوینت در گزارشی اعلام کردند نسخه جدیدی از بدافزار کیوبات (Qbot) شناسایی کرده‌اند که اقدام به سرقت ایمیل‌های کاربران از سرویس اوت لوک (Outlook) می‌کند. 

نسخه جدید کیوبات از ماه مارس تا آگوست 2020 به‌شدت فعال بوده و با سرقت ایمیل‌های کاربران حملات فیشینگ به‌مراتب هدفمندتری علیه کارکنان سازمان‌های دولتی، نظامی و صنعتی تدارک ‌دیده است. 

این بدافزار در یکی از کمپین‌های خود از طریق بدافزار «Emotet» توزیع‌شده و در ماه ژوئیه 2020، پنج درصد از سازمان‌های سراسر دنیا را هدف قرار داده است. 

کیوبات جدید ایمیل‌های مخرب حاوی پیوست آرشیو زیپ که دارای اسکریپت مخرب VBS هستند، ارسال می‌کند. این اسکریپت در سیستم کاربر پیلودهای اضافی بارگذاری کرده و با سرور فرماندهی و کنترل ارتباط می‌گیرد. 

کیوبات به کمک ماژول مخصوصی مجموعه‌ای از ایمیل‌های کاربران را از اوت لوک جمع‌آوری کرده و به سرور از راه دور ارسال می‌کند. مهاجمان با استفاده از ایمیل‌های سرقت شده و اطلاعاتی که در اختیاردارند پیام‌های اسپم و ایمیل‌های فیشینگ جدیدی ارسال کرده و اعتماد کاربران را جلب می‌کنند. 

بر اساس گزارش چک پوینت، بیشترین میزان حملات نسخه جدید کیوبات علیه سازمان‌های ایالات‌متحده آمریکا (29%) انجام‌شده است. اهداف بعدی آن نیز در کشورهای هند، اسرائیل، ایتالیا، آلمان، ترکیه، تایوان، کانادا، استرالیا و انگلیس واقع شده‌اند. 

بدافزار کیوبات که به «QuakBot» ،«QakBot» ،«Pinkslipbot» نیز شناخته می‌شود، در سال 2008 شناسایی‌شده است و طی سال های گذشته از یک سارق معمولی اطلاعات به چاقوی سوئیسی هکرها مبدل ‌شده است. 

این بدافزار قادر است در سیستم‌های آلوده بدافزارهای دیگری نصب کند و جهت اتصال از راه دور به سیستم هدف مورداستفاده قرار گیرد تا با استفاده از آدرس آی‌پی قربانی تراکنش‌های مالی انجام دهد.