Какво представлява семейството на зловреден софтуер Qbot?

Зловреден софтуер сега е толкова често срещан, че се създават цели „семейства“ от всеки вид. Такъв е случаят с Qbot, семейство зловреден софтуер, който се използва за кражба на данни. Но откъде идва Qbot, колко опасен е и можете ли да избягвате?

Произходът на Qbot

Както често се случва със зловреден софтуер, Qbot (известен също като Qakbot, Quakbot или Pinkslipbot) е открит само когато е намерен в дивата природа. От гледна точка на киберсигурността „в дивата природа“ се отнася до сценарий, при който форма на злонамерен софтуер се разпространява сред целевите устройства без разрешението на потребителите. Смята се, че Qbot работи най-малко от 2007 г., което го прави значително по-стара форма на злонамерен софтуер от много популярни щамове там днес.

Много форми на злонамерен софтуер от 2000-те вече не се използват, просто защото не са достатъчно ефективни, за да се справят със съвременните технологии. Но Qbot се откроява тук. Към момента на писане Qbot е работил поне 16 години, впечатляващ живот за програма за злонамерен софтуер.

От 2007 г. Qbot многократно е наблюдаван в употреба в дивата природа, въпреки че това също е прекъсвано от периоди на застой. Във всеки случай, това все още е популярна опция сред киберпрестъпниците.

Qbot се развива през годините и е бил използван от много хакери по много причини. Qbot започна като троянски кон, програма, която остава скрита в привидно безобидни приложения. Троянските коне могат да се използват за много злонамерени цели, включително кражба на данни и отдалечен достъп. Qbot, по-конкретно, преследва банкови идентификационни данни. Поради тази причина той се счита за банков троянски кон.

Но все още ли е така? Как работи Qbot днес?

Как работи Qbot?

Вижданият днес Qbot се предлага в много различни форми, но най-забележителният е троянски кон за крадец на информация. Както подсказва името, троянските коне крадци на информация са предназначени да крадат ценни данни, като информация за плащане, идентификационни данни за вход и данни за контакт. Главно този основен тип злонамерен софтуер Qbot се използва за кражба на пароли.

Наблюдавано е също така, че вариантите на Qbot провеждат кийлогинг, закачане на процеси и дори атакуват системи чрез задни вратички.

От създаването си през 2000-те Qbot е модифициран до имат възможности за задната врата, което го прави много по-голяма заплаха. Задната врата е по същество неофициален начин за проникване в система или мрежа. Хакерите често използват задни врати, за да извършат своите атаки, тъй като това им дава по-лесен път. "Задна врата. Qbot" е името, дадено на този вариант на Qbot.

Първоначално Qbot се разпространява чрез зловреден софтуер Emotet, друга форма на троянски кон. В наши дни Qbot обикновено се разпространява чрез злонамерени имейл кампании чрез прикачени файлове. Такива кампании включват изпращане на големи количества спам до стотици или дори хиляди получатели с надеждата, че някои от целевите потребители ще взаимодействат.

В рамките на злонамерените имейл прикачени файлове, Qbot обикновено се наблюдава като .zip файл, съдържащ натоварен с макроси XLS капкомер. Ако получателят отвори злонамерен прикачен файл, злонамереният софтуер може да бъде внедрен на неговото устройство, често без негово знание.

Qbot може да се разпространява и чрез експлойт комплекти. Това са инструменти, които помагат на киберпрестъпниците при внедряването на зловреден софтуер. Комплектите за експлоатиране могат да подчертаят уязвимостите в сигурността на устройствата и след това да злоупотребят с тези уязвимости, за да получат неоторизиран достъп.

Но нещата не спират с кражбата на пароли и задните врати. Операторите на Qbot също изиграха голяма роля като брокери за първоначален достъп. Това са киберпрестъпници, които продават достъп до системата на други злонамерени участници. В случая с актьорите на Qbot, достъпът е предоставен на някои огромни групи, включително REvil ransomware-като-услуга организация. Всъщност различни филиали на ransomware са наблюдавани да използват Qbot като първоначален достъп до системата, което дава на този зловреден софтуер още една тревожна цел.

Qbot се появява в много злонамерени кампании и се използва за насочване към редица индустрии. Здравни организации, банкови уебсайтове, правителствени органи и производствени компании са били насочени към Qbot. TrendMicro съобщи през 2020 г., че 28,1 процента от целите на Qbot са в областта на здравеопазването.

Други осем индустрии, заедно с множество различни други, също попадат в целевия диапазон на Qbot, включително:

• Производство.
• правителства.
• Застраховка.
• образование.
• технология.
• Нефт и газ.
• Транспорт.
• На дребно.

TrendMicro също така заяви в същия доклад, че Тайланд, Китай и САЩ са имали най-висок брой откривания на Qbot през 2020 г. Други често срещани места за откриване включват Австралия, Германия и Япония, така че Qbot очевидно е глобална заплаха.

Qbot съществува от толкова много години, защото неговите тактики за атака и избягване непрекъснато се развиват, за да бъдат в крак със съвременните мерки за киберсигурност. Разнообразието на Qbot също го прави огромна опасност за хората по света, тъй като те могат да бъдат насочени по толкова много начини с помощта на тази програма.

Как да избегнете Qbot злонамерен софтуер

На практика е невъзможно да се избегне зловреден софтуер в 100 процента от времето. Дори най-добрата антивирусна програма не може да ви защити от атаки за неопределено време. Но наличието на антивирусен софтуер, инсталиран на вашето устройство, ще играе решаваща роля за предпазването ви от зловреден софтуер. Това трябва да се счита за първата стъпка, когато става дума за киберсигурност. Е, какво следва?

Тъй като Qbot обикновено се разпространява чрез спам кампании, важно е да сте наясно с индикаторите за злонамерена поща.

Има многобройни червени знамена, които могат да изложат имейл като злонамерен, като се започне със съдържанието. Ако нов адрес ви е изпратил имейл, съдържащ връзка или прикачен файл, разумно е да се отдръпнете, докато не сте сигурни, че може да му се вярва. Има различни сайтове за проверка на връзки можете да използвате, за да проверите легитимността на URL, така че да знаете дали е безопасно да щракнете.

Прикачените файлове могат да бъдат също толкова опасни, колкото и връзките, когато става въпрос за заразяване със зловреден софтуер, така че трябва да внимавате с тях, когато получавате имейли.

Има определени разширения на прикачен файл, които обикновено се използват за разпространение на зловреден софтуер, включително .pdf, .exe, .doc, .xls и .scr. Въпреки че това не са единствените файлови разширения, използвани за заразяване със зловреден софтуер, те са сред най-често срещаните видове, така че внимавайте за тях, когато получавате прикачени файлове в имейлите си.

Ако някога ви бъде изпратен имейл от нов подател, който съдържа чувство за спешност, вие също трябва да сте нащрек. Киберпрестъпниците са склонни да използват убедителен език в своите комуникации, за да накарат жертвите да се съобразят.

Например, може да получите имейл, в който се посочва, че един от вашите акаунти в социалните медии е бил заключен поради многократни опити за влизане. Имейлът може да получи връзка, върху която трябва да кликнете, за да влезете в акаунта си и да го отключите, но в в действителност, това е злонамерен сайт, предназначен да открадне данните, които въвеждате (в този случай вашето име за вход акредитивни писма). Така че, ако получите особено убедителен имейл, помислете дали не сте манипулирани да се съобразите, тъй като това е много реална възможност.

Qbot е основна форма на зловреден софтуер

Увеличаването на гъвкавостта на програмата за злонамерен софтуер почти винаги я прави по-голяма заплаха и с течение на времето диверсификацията на Qbot я е превърнала в опасна сила. Тази форма на зловреден софтуер може да продължи да се развива с течение на времето и наистина не се знае какви възможности ще адаптира след това.