改版 Qbot 木马程序攻击迅速传播，劫持电子邮件线程感染数 10 万用户

Check Point发现，新版本的特洛伊木马正在迅速传播，并已在全球范围内夺走了100,000名受害者。

据Check Point 的研究人员星期四发表了关于他们发现的报告称，Qbot是自2008年以来不断发展的信息窃取木马，再次改变了战术并采用了许多新技术。例如，一项新的Qbot功能会劫持受害者基于Outlook的电子邮件线程，并使用它来感染其他PC。

据F5研究人员称，这种具有12年历史的恶意软件于2020年1月重新出现，他于6月发表了一份报告，详细介绍了新的Qbot规避功能以免被发现。

报告背后的检查点研究员 Alex Ilgayev 写道：“我们认为该活动已于6月之后停止，以允许QBot背后的人员进行进一步的恶意软件开发，但我们没有想到它会以如此快的速度返回。”

Ilgayev现在说，检查点（Check Point）最近几个月发现了几项新的活动。其中一个活动是使用Emotet僵尸网络，该僵尸网络最近中断了五个月，最近又浮出水面。他们说，这标志着一种新的分配技术。Check Point表示，这一活动在7月份影响了全球5％的组织。研究人员还怀疑Qbot具有更新的命令和控制基础结构。

Check Point网络研究主管Yaniv Balmas在给Threatpost的电子邮件中说：“我们的研究表明，即使旧形式的恶意软件也可以通过新功能进行更新，使其成为危险的持久威胁。” “ Qbot背后的威胁参与者正在对其开发进行大量投资，以使组织和个人大规模盗窃数据。”

Check Point表示，到目前为止，新的Qbot运动的大多数受害者都在美国，在美国已检测到29％的Qbot攻击，其次是印度，以色列和意大利。

关于Qbot的最新表现，最令人困扰的也许是它如何使人们自己的收件箱与他们相对。研究人员说，安装后，特洛伊木马会向目标组织或个人发送特制电子邮件，每个电子邮件都有指向带有恶意Visual Basic Script（VBS）文件的ZIP的URL，该文件包含可以在Windows中执行的代码。

如果执行了该文件，则Qbot会激活一个特殊的“电子邮件收集器模块”，以从受害人的Outlook客户端提取所有电子邮件线程，然后将其上传到硬编码的远程服务器。

研究人员写道：“这些被盗的电子邮件随后被用于未来的垃圾邮件运动，使用户更容易被诱骗点击受感染的附件，因为垃圾邮件似乎继续存在现有的合法电子邮件对话。”

特洛伊木马程序会及时收集有关主题材料，以欺骗受害者。在最近的活动中，Check Point研究人员发现Qbot窃取了与Covid-19，纳税提醒和工作招聘有关的电子邮件。

研究人员观察到，一旦Qbot被释放，它就拥有许多能力，其中任何一项本身都会给受害者带来问题。

他们说，该恶意软件可以从受感染的计算机中窃取信息，包括密码，电子邮件和信用卡详细信息。根据Check Point的说法，它还可以在其他机器上安装恶意软件，包括勒索软件，或使用Bot控制器连接到受害者的计算机，以从该IP地址进行银行交易。

Balmas说，除了通常的电子邮件安全保护措施外，Check Point还建议人们特别警惕所有可疑或远程网络钓鱼的电子邮件（即使发件人是他们认识的人），以免沦为经过改进的Qbot的受害者。

他说：“我强烈建议人们密切注意他们的电子邮件中是否有表明网络钓鱼企图的迹象，即使电子邮件似乎来自可信的来源。”