Phần mềm độc hại đọc email chỉ 30 phút sau khi lây nhiễm vào PC

Qbot, còn được gọi là Qakbot hoặc QuakBot, là một mối đe dọa phần mềm cũ đối với những người dùng Windows thời trước iPhone đầu tiên, nhưng những khả năng của nó vẫn đang được cải thiện đáng kể.

Hồi tháng 10/2021, các nhà nghiên cứu của DFIR đã phân tích và hiện phần mềm độc hại xuất hiện vào năm 2007, dường như trở thành "đồ cổ" trong thế giới ransomware mới, tuy nhiên vẫn khá linh hoạt và hiệu quả.

Qbot được biết đến với việc tiếp cận PC Windows qua email lừa đảo và khai thác lỗi trong các ứng dụng chính như ứng dụng Email, Outlook của Microsoft. Gần đây, phần mềm độc hại đã được xây dựng thêm một mô-đun đọc các chuỗi email để "hoàn thiện" tính hợp pháp của thư đối với nạn nhân.

Những kẻ điều hành phần mềm độc hại dựa vào các tin nhắn lừa đảo được click như những lời nhắc thanh toán thuế, lời mời làm việc và những cảnh báo COVID-19. Chúng có thể đánh cắp dữ liệu từ Chrome, Edge, email và mật khẩu ngân hàng trực tuyến.

Các nhà nghiên cứu của DFIR đã xem xét một trường hợp mà quyền truy cập ban đầu không được biết đến nhưng có khả năng được phát tán thông qua tài liệu Microsoft Excel bị nhiễm được định cấu hình để tải xuống phần mềm độc hại từ một trang web và sau đó sử dụng tác vụ thời gian (schedule) của Windows để chiếm được quyền truy cập cấp cao hơn trong hệ thống.

Các tác giả của Qbot đã sử dụng những công cụ hợp pháp của Microsoft để tấn công toàn bộ mạng trong vòng 30 phút sau khi nạn nhân nhấp vào một liên kết trong bảng tính Excel.

"30 phút sau lần truy cập ban đầu, Qbot được quan sát thấy đang thu thập dữ liệu từ máy chủ Beachhead bao gồm dữ liệu trình duyệt và các email từ Outlook. Vào khoảng 50 phút sau khi bị lây nhiễm, máy chủ Beachhead đã sao chép Qbot dll sang một máy trạm kế cận sau đó thực thi việc tạo một dịch vụ từ xa. Vài phút sau, máy chủ Beachhead thực hiện điều tương tự với một máy trạm liền kề khác, sau đó là một máy trạm khác cũng như vậy và trước khi chúng tôi biết điều đó thì tất cả các máy trạm trong môi trường đều bị xâm phạm".

Theo DFIR, cuộc tấn công ảnh hưởng đến các PC trong mạng chứ không ảnh hưởng đến các máy chủ.

Các nhà khai thác của Qbot đã phân nhánh ransomware. Công ty bảo mật Kaspersky báo cáo rằng so với năm ngoái, phần mềm độc hại Qbot đã lây nhiễm hơn 65% vào các PC trong vòng 6 tháng, tính đến tháng 7/2021. Microsoft đã lưu ý đến phần mềm độc hại vì thiết kế mô-đun của nó giúp nó khó bị phát hiện.

Phần mềm độc hại ẩn các tiến trình độc hại và tạo các tác vụ được lập sẵn để tồn tại trên máy. Sau khi chạy trên một thiết bị bị nhiễm virus, nó sử dụng nhiều kỹ thuật để di chuyển theo chiều ngang.

FBI cảnh báo rằng trojan Qbot được sử dụng để phân phối ProLock, một "ransomware do con người vận hành"./.