Trojan Qbot krade e-maily a zneužívá je k dalším útokům, podle analýzy už více než 100 000 obětí

  • Více než 100 000 obětí
  • Aktuálně nejrozšířenější malware
  • Qbot krade e-maily z Outlooku a zneužívá je k dalším útokům a krádežím přihlašovacích údajů a informací o kreditních kartách, neoprávněným bankovním transakcím a šíření dalších škodlivých kódů, včetně ransomwaru
  • Nejvíce útoků (29 %) zatím směřovalo na USA, následují Indie, Izrael a Itálie

PRAHA – 1. září 2020 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil novou, vylepšenou verzi nebezpečného trojského koně Qbot, který krade informace a masivně se šíří po celém světě a napadá organizace i jednotlivce. Qbot byl poprvé detekován v roce 2008 a mimo jiné shromažďuje data o online aktivitách a finanční informace, včetně podrobností o online bankovnictví.

Check Point v posledních měsících objevil několik kampaní, které využívají novou verzi trojanu Qbot. V jedné z kampaní byl Qbot šířen bankovním trojanem Emotet, který dokáže krást data odposloucháváním síťového provozu, což ukazuje na novou techniku distribuce malwaru Qbot. Qbot je nyní multifunkční, a proto ještě nebezpečnější. Umí například: 

  • Krást informace. Krade informace z infikovaných počítačů, včetně hesel, e-mailů, údajů o kreditních kartách atd.
  • Instalovat ransomware. Instaluje na napadených počítačích další škodlivé kódy, včetně ransomwaru.
  • Provádět neoprávněné bankovní transakce. Útočníci se mohou připojit k počítači oběti (i když je postižený přihlášen) a provádět bankovní transakce z IP adresy oběti.

Infekční řetězec začíná zasláním speciálně vytvořených e-mailů vytipovaným organizacím nebo jednotlivcům. Každý e-mail obsahuje odkaz na soubor ZIP se škodlivým VBS (Visual Basic Script) souborem, který obsahuje kód spustitelný v systému Windows.

Jakmile je počítač infikován, Qbot aktivuje speciální „modul pro sběr e-mailů“, který extrahuje všechna e-mailová vlákna z Outlooku oběti a nahraje je na vzdálený server. Ukradené e-maily jsou pak využívány pro budoucí malspamové kampaně, což umožňuje jednoduše nalákat uživatele, aby klikli na infikované přílohy, protože se zdá, že spam navazuje na stávající legitimní e-mailovou konverzaci. Check Point zaznamenal příklady, kdy ukradené e-maily byly použity k cíleným útokům a zneužívaly témata jako COVID-19, připomenutí plateb daní nebo nábor nových zaměstnanců.

„Náš výzkum ukazuje, že i starší malware lze oprášit a vylepšit novými funkcemi a udělat z něj znovu nebezpečnou hrozbu. Útočníci, kteří stojí za Qbotem, výrazně investují do vývoje, aby stvořili globální hrozbu pro organizace i jednotlivce. Viděli jsme aktivní malspamové kampaně i využití infekčních infrastruktur třetích stran, jako je Emotet. Každopádně doufáme, že naše analýza pomůže Qbot zastavit. Ale je potřeba dávat neustále pozor a pečlivě hodnotit každý e-mail, jestli se nemůže jednat o phishingový útok,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.

Jak se mohou organizace i jednotlivci chránit před podobnými phishingových útoky? Check Point doporučuje dodržovat následující postupy:

  1. Zabezpečte svou e-mailovou komunikaci. Kyberzločinci pro útoky na organizace stále nejčastěji využívají e-maily. Phishingové zprávy se snaží ukrást přihlašovací údaje nebo oběť přimět ke kliknutí na škodlivý odkaz/soubor. Organizace musí vždy využívat řešení pro zabezpečení e-mailů, které automaticky zabrání podobným útokům.
  2. Buďte obezřetní. Dávejte si pozor na e-maily, které obsahují neznámé přílohy nebo neobvyklé žádosti, i když se zdá, že pochází z důvěryhodných zdrojů. Před kliknutím na odkaz nebo přílohu vždy raději znovu ověřte, že je e-mail opravdu od známého odesílate.
  3. Vzdělávejte zaměstnance. Velmi důležité je průběžně vzdělávat zaměstnance a informovat je o nových hrozbách.
  4. Dvakrát měř, jednou řež. Při zpracování bankovních převodů je potřeba si vše znovu ověřit a zavolat osobě nebo organizaci, která požádala o převod a je příjemcem financí.
  5. Informujte obchodní partnery. Pokud ve vaší organizaci zjistíte narušení bezpečnosti, nezapomeňte také informovat všechny své obchodní partnery. Jakékoli prodlevy ve sdílení informací hrají ve prospěch útočníků.

Hlavním cílem útoků malwaru Qbot byly zatím Spojené státy (téměř 29 % všech detekovaných útoků). 7 % útoků bylo shodně na Indii, Izrael a Itálii. Útoky se zaměřují na organizace i jednotlivce a cílem je shromáždit co nejvíce citlivých údajů.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.