براساس خبرهای منتشر شده، کمپین انتشار جدید کیوبات در ماه مارس سال جاری توسط محققان کشف شده است. آنها توانستهاند با بررسی یکی از سرورهای مهاجمان، در حدود ۲۷۰۰ قربانی را شناسایی کنند. با این حال محققان عقیده دارند که تعداد قربانیان این تروجان بسیار بیشتر از اینها باشد.
بدافزار کیوبات که با نام QakBot نیز شناخته میشود، برای اعمال چندگانه و مخرب، مانند انتشار از طریق درایوهای به اشتراک گذاشته شده و حافظههای قابل حمل مشهور است. کیوبات در طول مدت فعالیت خود از طریق یک کمپین فیشینگ، با هدف قرار دادن شرکتهای ایالات متحده و همچنین قربانیانی کردن کاربران در اروپا، آسیا و آمریکای جنوبی گسترش یافته است.
بنا بر گزارش شرکت JASK، مکانیزم توزیع جدید بدافزار کیوبات از طریق کمپین فیشینگ ایمیلی است که ایمیلهای آن، توسط هیچ یک از سامانههای ضد هرزنامهای در سرویسهای ایمیلی شناسایی و مسدود نمیشود. این شرکت در همین رابطه اظهار کرده است که هدف این حملات، سرقت اطلاعات مالی کاربران از جمله اطلاعات حسابهای بانکی است.
به گفته محققان شرکت JASK، این بدافزار برای ایجاد آلودگی از شیوهای معمولی استفاده میکند. ابتدا قربانی یک ایمیل فیشینگ با یک لینک به فایل OneDrive دریافت میکند که بدین وسیله یک فایل مخرب VBScript جاسازی شده در فایلی فشرده، توسط دستگاه قربانی دریافت میشود. اگر فایل فشرده باز شود، حمله BITSAdmin Windows آغاز میشود. این مساله باعث میشود که ابزار Wscript.exe نیز برای دانلود بدافزار کیوبات از سرور مهاجم مورد استفاده قرار گیرد.
در نهایت از آنجایی که هدف این بدافزار سرقت پول از حسابهای بانکی کاربران است، این بدافزار با شیوههایی مانند کیلاگینگ (سرقت اطلاعات تایپ شده توسط کاربر) و سرقت کوکیها، اطلاعات حساس مرتبط با فعالیتهای کاربر و اطلاعات حسابهای بانکی را به سرقت میبرد.
از سال ۲۰۰۹ یعنی زمان اولین فعالیت کیوبات، این بدافزار هیچگاه به طور کامل از بین نرفت و از آن زمان، گزارشهای پراکندهای از آلودگیهای مختلف به کیوبات منتشر شد. در سال ۲۰۱۶، سازندگان این تروجان، کد منبع اصلی کیوبات را تغییر داده و آن را بهطوری اصلاح کردند که بتواند خود را هر ۲۴ ساعت در یک میزبان آلوده (Active Directory) بازسازی کند.
توضیحات بیشتر:
- Latest Qbot Variant Evades Detection, Infects Thousands