کمپین انتشار نسخه جدید بدافزار کیوبات

براساس اطلاعات موجود، بدافزار کیوبات، یک تروجان سارق اطلاعات بانکی است که بیش از ۱۰ سال از آغاز فعالیت آن می‌گذرد و حالا مجددا با یک شیوه آلودگی مبتنی بر فیشینگ شروع به فعالیت کرده و قادر است راه‌‌حل‌های دفاعی ضد هرزنامه در سرویس‌های ایمیل را دور بزند.
۰۵ اردیبهشت ۱۳۹۸

براساس خبرهای منتشر شده، کمپین انتشار جدید کیوبات در ماه مارس سال جاری توسط محققان کشف شده است. آن‌ها توانسته‌اند با بررسی یکی از سرور‌های مهاجمان، در حدود ۲۷۰۰ قربانی را شناسایی کنند. با این حال محققان عقیده دارند که تعداد قربانیان این تروجان بسیار بیشتر از این‌ها باشد.

بدافزار کیوبات که با نام QakBot نیز شناخته می‌شود، برای اعمال چندگانه و مخرب، مانند انتشار از طریق درایو‌های به اشتراک گذاشته شده و حافظه‌های قابل حمل مشهور است. کیوبات در طول مدت فعالیت خود از طریق یک کمپین فیشینگ، با هدف قرار دادن شرکت‌های ایالات متحده و همچنین قربانیانی کردن کاربران در اروپا، آسیا و آمریکای جنوبی گسترش یافته است.

بنا بر گزارش شرکت JASK، مکانیزم توزیع جدید بدافزار کیوبات از طریق کمپین‌ فیشینگ ایمیلی است که ایمیل‌های آن، توسط هیچ یک از سامانه‌های ضد هرزنامه‌ای در سرویس‌های ایمیلی شناسایی و مسدود نمی‌شود. این شرکت در همین رابطه اظهار کرده است که هدف این حملات، سرقت اطلاعات مالی کاربران از جمله اطلاعات حساب‌های بانکی است.

به گفته محققان شرکت JASK، این بدافزار برای ایجاد آلودگی از شیوه‌ای معمولی استفاده می‌کند. ابتدا قربانی یک ایمیل فیشینگ با یک لینک به فایل OneDrive دریافت می‌کند که بدین وسیله یک فایل مخرب VBScript جاسازی شده در فایلی فشرده، توسط دستگاه قربانی دریافت می‌شود. اگر فایل فشرده باز شود، حمله BITSAdmin Windows آغاز می‌شود. این مساله باعث می‌شود که ابزار Wscript.exe نیز برای دانلود بدافزار کیوبات از سرور مهاجم مورد استفاده قرار گیرد.

در نهایت از آنجایی که هدف این بدافزار سرقت پول از حساب‌های بانکی کاربران است، این بدافزار با شیوه‌هایی مانند کی‌لاگینگ (سرقت اطلاعات تایپ شده توسط کاربر) و سرقت کوکی‌ها، اطلاعات حساس مرتبط با فعالیت‌های کاربر و اطلاعات حساب‌‌های بانکی را به سرقت می‌برد.

از سال ۲۰۰۹ یعنی زمان اولین فعالیت کیوبات، این بدافزار هیچ‌گاه به طور کامل از بین نرفت و از آن زمان، گزارش‌های پراکنده‌ای از آلودگی‌های مختلف به کیوبات منتشر شد. در سال ۲۰۱۶، سازندگان این تروجان، کد منبع اصلی کیوبات را تغییر داده و آن را به‌طوری اصلاح کردند که بتواند خود را هر ۲۴ ساعت در یک میزبان آلوده (Active Directory) بازسازی کند. 

 

 

توضیحات بیشتر:

Latest Qbot Variant Evades Detection, Infects Thousands