Распространители Qbot начали использовать MSI-инсталляторы Windows

Распространители Qbot начали использовать MSI-инсталляторы Windows

Распространители Qbot начали использовать MSI-инсталляторы Windows

Эксперты BleepingComputer предупреждают о новом векторе атаки Qbot: в спам-письмах ссылкой указан запароленный ZIP-файл, содержащий установочный MSI-пакет для развертывания трояна средствами Windows. По всей видимости, основной причиной смены тактики является решение Microsoft осложнить включение макросов вручную в офисных программах.

Ранее злоумышленники обычно раздавали Qbot с помощью документов Office со встроенным макрокодом. Чаще всего это были файлы Excel, но использовались и другие форматы. Получателя вредоносного письма надо было просто убедить включить нужную функцию.

В феврале этого года Microsoft объявила о своем намерении спрятать кнопки активации макросов в ряде офисных приложений. Изменение, вступившее в силу с начала текущего месяца, призвано усилить защиту от вредоносных программ, доставляемых на Windows-машины с помощью VBA-загрузчиков. В начале года разработчик с той же целью дефолтно отключил для всех пользователей Microsoft 365 аналогичную функцию Excel 4.0 (макросы XLM), которая к тому же устарела.

Зловред Qbot, он же Qakbot, Quakbot и Pinkslipbot, известен ИБ-сообществу с 2007 года. Он умеет воровать финансовую информацию и учетные данные, регистрировать клавиатурный ввод, открывать бэкдор,  а также самостоятельно распространяться по сети и развертывать в ней других зловредов, в том числе шифровальщиков.

Злоумышленники в основном используют трояна для проведения целевых атак. Вредонос постоянно совершенствуется и со временем научился очень быстро добывать нужные сведения и разбегаться по атакуемой сети. По последним данным, на кражу информации из браузеров и Outlook он тратит не более получаса, на заражение других машин в сети — примерно 50 минут.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

К ноябрю мошенники создали более 200 доменов с темой чёрной пятницы

До сезона осенних распродаж остается еще месяц, но злоумышленники уже активизировались — начали массово регистрировать сайты с упоминанием «чёрной пятницы» в названии. Такие площадки появляются каждый год с началом осени, а пик приходится на ноябрь.

По данным компании BI.ZONE, вне сезона (с января по август) создается около 100–150 таких доменов в месяц.

Но как только стартует осень, цифры растут в несколько. В сентябре 2024 года появилось 263 домена, в октябре — 780, а в ноябре — уже 2083. В этом году тенденция повторяется: если летом фиксировалось в среднем 128 новых сайтов в месяц, то в сентябре зарегистрировали 202, а в октябре — уже 278. К ноябрю число может снова превысить две тысячи.

При этом, по оценке BI.ZONE, каждый десятый сайт с упоминанием «черной пятницы» может оказаться мошенническим.

Руководитель BI.ZONE DRP Дмитрий Кирюшкин напоминает:

«Ажиотаж вокруг скидок и выгодных покупок мошенники используют каждый год. Такие сайты часто маскируются под реальные магазины — меняют в названии один символ, используют старые логотипы или небрежный дизайн. Главное правило — не вводить личные данные и данные карт, если сайт вызывает хоть малейшее сомнение».

Интересно, что в доменной зоне .ru регистрируется лишь 1–2% подобных сайтов. По словам экспертов, в России «черная пятница» не настолько популярна, как на зарубежных рынках, а часть мошенников просто предпочитает иностранные домены — их сложнее заблокировать.

В то же время специалисты Координационного центра доменов .RU/.РФ отмечают позитивную тенденцию: число фишинговых доменов, копирующих крупные российские площадки вроде Ozon, Wildberries, «Авито» и «Яндекс Маркета», снизилось на 9% по сравнению с прошлым годом.

Аналитик центра Евгений Панков рассказал, что благодаря совместной работе регистраторов и профильных организаций среднее время блокировки вредоносных доменов сократилось до 15 часов.

Однако киберпреступники смещают акцент в другую сторону — в мессенджеры. За год число фишинговых сайтов, нацеленных на кражу учетных записей в Telegram, выросло в 4,5 раза, а в WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) — более чем в два раза.

Эксперты советуют пользователям быть особенно внимательными в период распродаж: проверять адрес сайта, не переходить по ссылкам из СМС и мессенджеров и не доверять слишком «щедрым» предложениям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru