Qbot: stary-nowy wirus wymierzony w firmy

Malware o nazwie Qbot po raz pierwszy odnotowano dekadę temu. Teraz wraca w zmodyfikowanej, groźniejszej wersji.

To nie pierwszy powrót Qbot - pojawił się ostatnio w 2014 roku, a efektem jego działania było stworzenie botnetu, liczącego sobie ponad 500 tys. urządzeń. W 2019 roku objawia się jako zagrożenie dla tysięcy firmowych systemów. Eksperci ds. bezpieczeństwa z Varonis wykryli go na podstawie zgłoszeń klientów, którzy zaobserwowali podejrzaną aktywność swoich maszyn. Okazało się, że jest to infekcja przez szkodnika - okazał się nim Qbot w nowej wersji. Kod źródłowy tego malware jest szeroko rozpowszechniony wśród cyberprzestępców, co umożliwia tworzenie jego rozmaitych wariacji. Początkowo był trojanem, przeznaczonym do wykradania danych bankowych, ale z biegiem lat zyskał nowe funkcje i możliwości.

Qbot jest o tyle niebezpiecznym zagrożeniem, że może powiązane z nim serwery command-and-control mogą zmieniać na bieżąco jego kod, co utrudnia wykrycie przez oprogramowanie ochronne bazujące na sygnaturach. Malware może korzystać z luk w zabezpieczeniach, aby wnikać w głąb firmowych sieci.

Jak atakuje Qbot?

Eksperci Varonis przebadali sposób ataku Qbot. Początek nie różni się zbytnio od innych tego typu zagrożeń - w sprokurowanym e-mailu znajduje się załącznik w formacie .doc.vbs. VBS to język skryptowy, natywnie wspierany przez Windows. Jeśli ktoś kliknie na załącznik, wówczas z serwera command-and-control pobiera się aplikacja instalująca Qbot, czego dokonuje przy użyciu Windows BITSAdmin - poprzednia wersja szkodnika korzystała w PowerShell, jednak gdy stało się to powszechnym sposobem ataków, aplikacje ochronne zaczęły je doskonale wykrywać i blokować. Co ważne - po pobraniu Qbot może być automatycznie aktualizowany nawet w trakcie swojego działania!

Wersja, jaka zostanie zainstalowana na komputerze ofiary, zależy od parametrów w pliku VBS, dlatego kampanie wymierzone w różne organizacje mogą korzystać z całkowicie różnych jego odmian. Niektóre aplikacje miały aż osiem różnego rodzaju cyfrowych certyfikatów, w tym niektóre skradzione od innych aplikacji. Jeśli plik jest cyfrowo podpisany, nie oznacza to, że nie jest niebezpieczny; podobnie strona HTTPS może zawierać malware lub narzędzia do wykradania danych. Ale cyfrowo podpisane pliki mniej alarmują aplikacje ochronne, a kiepsko skonfigurowane mogą je nawet dodać do białej listy.

Po zainstalowaniu, Qbot tworzy harmonogram zadań i dodaje wpisy do rejestru systemu, co pozwala mu na solidne zagnieżdżenie się w nim. Następnie zaczyna rejestrować wszystkie naciskane klawisze (czyli działa jak typowy keylogger), a także przejmuje pliki cookies zapisane w przeglądarkach, wstrzykuje także złośliwy kod, który ma na celu znajdowanie i kradzież związanych z finansami informacji tekstowych. Varonis udało się zyskać dostęp do jednego z serwerów cyberprzestępców, gdzie znaleziono logi zawierające 2726 unikalnych adresów IP. Z tego 1700 znajdowało się w USA, a reszta to Kanada, Wielka Brytania, Niemcy, Francja, Indie, Chiny, Rosja, Brazylia, Południowa Afryka.

Od czasu gdy komputery i firmy używają współdzielonych adresów IP, liczba zainfekowanych urządzeń znacznie wzrosła, nawet pomimo obecności na nich oprogramowania antywirusowego różnych dostawców. Świadczy to o tym, że szkodniki mają coraz lepsze zdolności kamuflażu, pozwalającego na omijanie systemów ochronnych.