木马 Qbot 回归，攻击金融机构及银行客户

这个有12年历史的恶意软件仍然很危险，它拥有先进的规避技术。

自2008年以来一直存在的一种不断进化的窃取信息的木马Qbot，在中断了针对美国金融机构客户的攻击后，又重新出现了。它最新的变种具有不易被发现的新功能。

Qbot(又名Qakbot或Pinkslipbot)收集浏览数据和金融信息，包括网上银行的详细信息。它的一些技巧包括密钥记录、凭证窃取、cookie过滤和进程挂钩。Qbot之前已经发展到添加一种“上下文感知”交付技术；在另一个案例中，增加了6小时的进化周期来逃避检测。

F5的研究人员使用一种新的变体发现了最近的活动，这种变体也努力避免分析。他们告诉Threatpost，新菌株的第一批样本首次出现在1月份的《病毒总量》杂志上。

根据最新的F5分析，“Qbot仍然是基于窗口的，但是这个最新版本增加了检测和研究规避技术”。“它有一个新的包装层，可以对扫描仪和基于签名的工具乱码和隐藏代码。它还包括反虚拟机技术，这有助于它抵制法医检查。”

在最近的活动中，攻击者通过网络钓鱼、通过滴管注入Qbot的网络漏洞或恶意文件共享来感染计算机。F5表示，一旦受害者受到威胁，Qbot会等待时机，直到受害者打开自己感兴趣的网页——特别是美国银行、第一资本、花旗银行、公民银行、摩根大通、太阳银行、道明银行、富国银行等的网上银行门户。

“这似乎是一个专门的活动，当机器被感染时，浏览器劫持或重定向是主要的攻击方法，”研究人员解释说。当Qbot监视受害者的网络流量时，它会寻找特定的金融服务来获取凭证。”

据该公司称，总体而言，这一波感染是专门针对36家美国金融机构以及加拿大和荷兰的两家银行的。研究人员告诉Threatpost，就受害者人数而言，这一活动的范围尚不清楚。

有趣的是，Qbot的目标页面带有查询“注销/退出/退出”请求的正则表达式搜索字符串。

Qbot的目标列表还包括可能在攻击的第二阶段使用的通用网址——比如，向受害者显示信息，以便在银行活动结束后将他们转移到其他地方。

“由于通用网址是正则表达式，它们可以以不同的方式使用，例如https:///cmserver/logout.cfm” 研究人员说。“它不会限制攻击，而是将攻击扩展到任何请求攻击的网站，因为这是一个‘注销’。可能是在攻击的第二阶段，当用户想要注销时，突然出现一条附加消息。”

开箱程序

一旦受害者最初受到损害，Qbot可执行程序就会将自己加载到正在运行的explorer.exe内存中。然后，它将自己复制到应用程序文件夹的默认位置，如%APPDATA%注册表项中定义的，并在特定注册表项HKCU \软件\微软\窗口\当前版本\运行中创建自己的副本，以便在系统重新启动时运行，从而实现持久性。

在下一步中，根据F5分析，Qbot删除一个带有系统信息和僵尸网络名称日志的. dat文件，然后从%APPDATA%文件夹中执行其副本。之后，为了掩盖它的踪迹，它用一个合法的文件替换原来被感染的文件。

“最后，Qbot创造了一个explorer.exe的例子，并把自己注入其中。”F5研究人员表示。“然后，攻击者使用始终运行的explorer.exe进程从他们的外部命令和控制服务器更新Qbot。”

研究人员说，Qbot的最新版本显示，长期恶意软件仍然是危险的。

“毫不奇怪，10多年前的恶意软件仍然活跃，并为新的攻击重新编码，”James McQuiggan，KnowBe4的安全意识倡导者，通过电子邮件说。“网络犯罪分子过去曾看到它成功工作，并通过将其注入反恶意软件应用程序接受的已知流程来更新代码和概念。”

他补充说，像往常一样，用户意识可以在很大程度上阻止这样的攻击。

“组织中的员工应该意识到，访问不熟悉或未知的网站会带来旁路攻击，并绕过系统的安全性，”McQuiggan说。“他们应该注意如何在出现奇怪行为时提醒他们的安全团队，尤其是像网络钓鱼这样的社交工程诈骗。”