Chiến dịch Trojan ngân hàng phát tán phần mềm độc hại

Hoạt động mới nhất, bắt đầu vào ngày 4/4/2023, chủ yếu nhắm mục tiêu đến người dùng ở Đức, Argentina, Ý, Algeria, Tây Ban Nha, Hoa Kỳ, Nga, Pháp, Vương quốc Anh và Ma-rốc.

QBot (hay còn gọi là Qakbot hoặc Pinkslipbot) là một trojan ngân hàng, hoạt động ít nhất từ năm 2007. Bên cạnh việc đánh cắp các mật khẩu và cookie từ trình duyệt web, nó còn đóng vai trò như một cửa hậu để cấy các tải trọng cho giai đoạn tiếp theo như Cobalt Strike hoặc ransomware.

Được phát tán thông qua các chiến dịch lừa đảo, phần mềm độc hại này đã liên tục nhận được các bản cập nhật trong suốt thời gian tồn tại của nó, bao gồm các kỹ thuật chống máy ảo, chống gỡ lỗi và chống sanbox để tránh bị phát hiện. Theo Check Point, nó cũng đã trở thành phần mềm độc hại phổ biến nhất trong tháng 3/2023.

Các nhà nghiên cứu của Kaspersky cho biết, những phương thức phát tán của Qbot là: "Ngay từ đầu, nó đã được phát tán thông qua các trang web bị nhiễm và phần mềm vi phạm bản quyền. Sau đó, nhân viên ngân hàng chuyển đến các nạn nhân tiềm năng thông qua phần mềm độc hại đã có sẵn trên các máy tính của họ, tấn công phi kỹ thuật (social engineering) và các thư rác".

Các cuộc tấn công chiếm quyền điều khiển chuỗi email không phải là mới. Nó xảy ra khi bọn tội phạm xâm nhập vào các cuộc hội thoại kinh doanh hiện có hoặc bắt đầu các cuộc hội thoại mới dựa trên thông tin thu thập được từ những tài khoản email chúng xâm phạm được trước đó.

Mục tiêu là lôi kéo các nạn nhân mở những liên kết độc hại hoặc các tệp đính kèm độc hại, trong trường hợp này là tệp PDF đính kèm giả dạng cảnh báo Microsoft Office 365 hoặc Microsoft Azure.

Việc mở tài liệu dẫn đến việc truy tìm một tệp lưu trữ từ một trang web bị nhiễm, kết quả bao gồm tệp Windows Script (.WSF) đã bị xáo trộn. Về phần mình, tập lệnh kết hợp tập lệnh PowerShell tải xuống DLL độc hại từ máy chủ từ xa. DLL đã tải xuống chính là phần mềm độc hại QBot.

Các phát hiện được đưa ra khi Elastic Security Labs phát hiện một chiến dịch kỹ thuật xã hội mà tin tặc “vũ khí hóa” những các tài liệu Microsoft Word để phát tán Agent Tesla và XWorm bằng một trình tải dựa trên .NET tùy chỉnh./.