Распространители Qbot начали использовать MSI-инсталляторы Windows

Распространители Qbot начали использовать MSI-инсталляторы Windows

Эксперты BleepingComputer предупреждают о новом векторе атаки Qbot: в спам-письмах ссылкой указан запароленный ZIP-файл, содержащий установочный MSI-пакет для развертывания трояна средствами Windows. По всей видимости, основной причиной смены тактики является решение Microsoft осложнить включение макросов вручную в офисных программах.

Ранее злоумышленники обычно раздавали Qbot с помощью документов Office со встроенным макрокодом. Чаще всего это были файлы Excel, но использовались и другие форматы. Получателя вредоносного письма надо было просто убедить включить нужную функцию.

В феврале этого года Microsoft объявила о своем намерении спрятать кнопки активации макросов в ряде офисных приложений. Изменение, вступившее в силу с начала текущего месяца, призвано усилить защиту от вредоносных программ, доставляемых на Windows-машины с помощью VBA-загрузчиков. В начале года разработчик с той же целью дефолтно отключил для всех пользователей Microsoft 365 аналогичную функцию Excel 4.0 (макросы XLM), которая к тому же устарела.

Зловред Qbot, он же Qakbot, Quakbot и Pinkslipbot, известен ИБ-сообществу с 2007 года. Он умеет воровать финансовую информацию и учетные данные, регистрировать клавиатурный ввод, открывать бэкдор,  а также самостоятельно распространяться по сети и развертывать в ней других зловредов, в том числе шифровальщиков.

Злоумышленники в основном используют трояна для проведения целевых атак. Вредонос постоянно совершенствуется и со временем научился очень быстро добывать нужные сведения и разбегаться по атакуемой сети. По последним данным, на кражу информации из браузеров и Outlook он тратит не более получаса, на заражение других машин в сети — примерно 50 минут.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Легенда о едином счете: банки предупреждают о новой схеме мошенничества

Банки сообщили о новом сценарии телефонного мошенничества. Аферисты предлагают застраховать деньги на якобы едином межбанковском счете Банка России. Жертву обрабатывает цепочка “социальных инженеров”.

В новой мошеннической схеме с каждым клиентом работает несколько злоумышленников, рассказали Anti-Malware.ru в пресс-службе ВТБ.

Сначала они обзванивают клиентов якобы от имени полиции и рассказывают о поступившем “заявлении от Центрального банка” о компрометации персональных данных. Аферист №1 уточняет, что списания производились не со счета конкретного банка, а по единому внутрибанковскому счету. По легенде доступ к нему имеют только сотрудники кредитных организаций, которых и подозревают в попытке мошенничества.

Дальше звонок переводится на “сотрудника департамента безопасности ЦБ”. Аферист №2 узнает, в каком банке обслуживается клиент, какими продуктами пользуется, “проверяет” остатки на счетах и даже размер зарплаты.

Именно в этот момент мошенники предлагают “застраховать” общую сумму на едином счете. Перевод всех денег на “безопасный счет ЦБ” якобы поможет отбиться от мошенников.

Легенда о “едином счете в ЦБ” появилась чуть ранее в этом году и, к сожалению, пользуется успехом, комментирует новость Никита Чугунов, руководитель департамента цифрового бизнеса, старший вице-президент ВТБ. Клиенты в стрессовой ситуации могут поверить, что подобный счет у них действительно может быть.

“Поэтому предложение быстро оформить страховку, которая защитит все деньги клиента — та самая уловка, на которую злоумышленники стремятся поймать своих жертв”, — объясняет Чугунов.

В банке советуют не поддаваться на провокации: деньги клиента могут храниться только на счете, который он открывал физически в своем банке. Никакого “единого счета в ЦБ” не существует и страховать его – переводить деньги мошенникам.

Добавим, сегодня стало известно, что экспертный совет по защите прав потребителей финуслуг при Центробанке предложил “замораживать” переводы свыше 10 тыс. рублей для дополнительной проверки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru