Qbot научился следить за состоянием Windows, чтобы лучше спрятаться

Qbot научился следить за состоянием Windows, чтобы лучше спрятаться

Qbot научился следить за состоянием Windows, чтобы лучше спрятаться

Создатели Qbot выпустили новую версию Windows-зловреда, поместив загрузчик и бот в единый dll-файл. Банковский троян также получил новый защитный механизм, позволяющий ему стартовать перед выключением ПК и автоматически удалять следы своего присутствия при перезагрузке системы или по ее выходе из спящего режима.

Вредонос-полиморфик Qbot, также известный как Qakbot, Quakbot и Pinkslipbot, существует в интернете как минимум с 2009 года. Он способен воровать банковские реквизиты, учетные и персональные данные, регистрировать клавиатурный ввод. Троян также умеет открывать бэкдор на зараженных машинах и самостоятельно распространяться по сети.

Новую версию Qbot обнаружили в конце прошлого месяца исследователи из компании Binary Defense. Она распространялась через спам-письма, снабженные вредоносной ссылкой или вложенным файлом в формате Excel с вредоносным макросом.

Проведенный в Binary Defense анализ выявил функциональность, позволяющую зловреду более эффективно избегать обнаружения. Обновленный Qbot тщательно отслеживает служебные сообщения Windows о состоянии питания (WM_POWERBROADCAST), фиксируя такие события, как Shutdown, Suspend и Resume (отключение, переход в спящий режим, пробуждение), и манипулирует ключом реестра run.

 

С помощью этого ключа троян прописывается на автозапуск в системе перед выключением питания или ее уходом в спящий режим и пытается удалить эту запись при начальной загрузке системы или ее пробуждении после длительного простоя. Эти трюки, по словам экспертов, позволяют повысить скрытность присутствия Qbot на зараженной машине. Залогом успеха в данном случае является быстрота внесения ключа run и его удаления из системного реестра.

Новая тактика зловреда настолько эффективна, что некоторые исследователи даже сначала решили, что Qbot потерял былую цепкость после обновления. В блог-записи Binary Defense также отмечено, что подобный способ сокрытия не нов, его некогда использовали другие банковские трояны — Gozi и Dridex.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

InfoWatch Traffic Monitor теперь защищает данные в мессенджере Frisbee

DLP-систему InfoWatch Traffic Monitor интегрировали с корпоративным мессенджером Frisbee. Этот шаг должен усилить контроль за передачей данных внутри компании и помочь предотвратить утечки.

Для взаимодействия двух систем в Frisbee добавили специальный сервис, который отслеживает весь поток сообщений и вложений.

InfoWatch Traffic Monitor анализирует передаваемую информацию и может выявлять нарушения — например, попытку переслать персональные данные или конфиденциальные файлы, будь то текст, документы, архивы или изображения.

Frisbee — это платформа, включающая мессенджер, видеозвонки и видеохостинг, которую можно развернуть на собственных серверах или в выбранном дата-центре.

Интеграция позволяет организациям следить за соблюдением политик информационной безопасности в переписке и при обмене файлами. Как отмечают представители компаний, утечки могут происходить не только умышленно, но и по невнимательности сотрудников — особенно в повседневной рабочей коммуникации.

Новое решение помогает вовремя замечать такие инциденты, не мешая при этом привычным бизнес-процессам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru