QakBot 银行木马窃取资金

一项新的研究表明，一个臭名昭著的旨在窃取银行帐户凭据和其他财务信息的银行木马，如今又以针对美国和欧洲政府，军事和制造业的新手段而卷土重来。

在今天由Check Point Research发布的一项分析中，最新的Qbot活动似乎与Emotet的出现相吻合。Emotet是上个月僵尸网络驱动的垃圾邮件活动和勒索软件攻击背后的另一种基于电子邮件的恶意软件，具有新样本功能。秘密地从受害者的Outlook客户端收集所有电子邮件线程，并将其用于以后的垃圾邮件活动。

这家网络安全公司说：“如今，Qbot比以前更加危险，它开展了积极的恶意垃圾邮件运动，感染了组织，并且设法使用了像Emotet这样的’第三方’感染基础设施来进一步传播威胁。” 。

使用被劫持的电子邮件线程作为诱饵

Qbot（又名QuakBot，QakBot或Pinkslipbot） 于2008年首次发布，多年来已从信息窃取者演变为擅长提供其他类型恶意软件（包括Prolock勒索软件）的“瑞士军刀” ，甚至可以远程连接目标的Windows系统从受害者的IP地址进行银行交易。

攻击者通常使用网络钓鱼技术感染受害者，以诱使受害者进入利用漏洞通过滴管注入Qbot的网站。

F5实验室在6月 观察到的一次垃圾邮件攻击，发现该恶意软件配备了检测和研究规避技术，旨在逃避法医检查。然后在上周，Morphisec解压缩了一个Qbot样本，该样本带有两种新方法，这些新方法旨在绕过内容撤防与重建（CDR）和端点检测与响应（EDR）系统。

Check Point详细介绍的感染链遵循类似的模式。

第一步开始于特制的网络钓鱼电子邮件，其中包含附加的ZIP文件或指向包含恶意Visual Basic脚本（VBS）的ZIP文件的链接，然后继续下载负责与攻击者保持适当通信渠道的其他有效负载控制的服务器并执行收到的命令。

值得注意的是，发送给目标组织的网络钓鱼电子邮件以COVID-19诱饵，纳税提醒和工作招聘的形式出现，不仅包含恶意内容，而且还插入了双方之间的存档电子邮件线程以提供信誉的空气。

为此，使用电子邮件收集器模块预先收集了对话，该模块从受害人的Outlook客户端提取所有电子邮件线程，并将其上载到硬编码的远程服务器。

除了包装组件抓密码，浏览器的cookies，并在银行网站注入的JavaScript代码，该Qbot运营商发布了多达自今年开始恶意软件的15个版本，与8月7日公布的最后已知版本

更重要的是，Qbot带有一个hVNC插件，可以通过远程VNC连接控制受害机器。

Check Point指出：“即使用户登录计算机，外部操作员也可以在用户不知情的情况下进行银行交易。该模块与TrickBot的hVNC等类似模块共享大量代码。”

从被感染的机器到控制服务器

那不是全部。Qbot还配备了一种单独的机制，可以通过使用代理模块将受感染的计算机募集到僵尸网络中，该代理模块允许将受感染的计算机用作控制服务器。

通过Qbot劫持合法的电子邮件线程来传播恶意软件，即使用户似乎来自受信任的来源，也必须监视用户的电子邮件以进行网络钓鱼攻击。

Check Point Research的Yaniv Balmas表示：“我们的研究表明，即使旧形式的恶意软件也可以通过新功能进行更新，使其成为危险而持久的威胁。Qbot背后的威胁行为者正在对其开发进行大量投资，以使组织和个人大规模盗窃数据。”

Balmas补充说：“我们已经看到活跃的恶意垃圾邮件活动直接分发Qbot，以及使用诸如Emotet的第三方感染基础设施进一步传播威胁。”