Новые имейл-атаки QBot используют PDF и WSF для доставки пейлоада
Главная » Новости

Новые имейл-атаки QBot используют PDF и WSF для доставки пейлоада

Татьяна Никитина 18 Апреля 2023 - 16:52
...
Новые имейл-атаки QBot используют PDF и WSF для доставки пейлоада

С начала апреля в «Лаборатории Касперского» фиксируют рост объемов спама, нацеленного на засев трояна QBot, он же QakBot, QuackBot и Pinkslipbot. Вредоносные сообщения имитируют деловую переписку и оформлены на разных языках.

Единственная цель этих фейков — заставить получателя открыть прикрепленный PDF-файл, чтобы запустить цепочку заражения QBot. Потенциальную жертву могут попросить прислать всю документацию по приложенному заявлению или посчитать сумму контракта по смете расходов из вложения.

И контакт получателя, и имя отправителя злоумышленники берут из писем, ранее украденных зловредом, однако адрес отправителя фальшивки не всегда совпадает с адресом реального участника переписки.

Содержимое вложенного документа имитирует уведомление Microsoft Office 365 или Microsoft Azure с предложением нажать кнопку Open для просмотра. Если получатель последует подсказке, на машину со стороннего сервера загрузится запароленный ZIP-архив.

 

В нем содержится файл WSF с обфусцированным сценарием на JScript (Microsoft-реализация стандарта ECMAScript). Этот файл запускает PowerShell-скрипт, загружающий целевую DLL (QBot) с удаленного сервера.

Имя библиотеки представлено случайной последовательностью букв и каждый раз изменяется. Ссылки для скачивания вшиты в код; вредонос поочередно перебирает их, проверяя размер загруженного файла. Если тот больше или равен 100 000 байт, QBot запускается на исполнение с помощью rundll32, в противном случае скрипт ждет четыре секунды и переходит по следующей ссылке.

 

Конфигурационные данные трояна включают список из более 100 IP-адресов, по которым можно подключиться к командному серверу. Большинство из них — это зараженные системы, работающие как прокси в пределах ботнета.

Функциональные возможности зловреда, по данным Kaspersky, за два года почти не изменились. Бот по-прежнему способен извлекать пароли и куки из браузеров, воровать письма из почтового ящика, перехватывать трафик, открывать удаленный доступ, быстро распространяться по сети, загружать дополнительные файлы, в том числе CobaltStrike и шифровальщиков.

Первые вредоносные письма в рамках выявленной имейл-кампании появились 4 апреля; в настоящее время активность злоумышленников снизилась, но не угасла. Чаще прочих от новых атак QBot страдают жители Германии (27,07% попыток заражения), Аргентины (12,48%) и Италии (8,94%). США и Россия по этому показателю пока занимают 6 и 7 место (3,19 и 3,09% соответственно).

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Роскомнадзор не планирует снимать ограничения с WhatsApp
Екатерина Быстрова 15 Января 2026 - 18:08
Информационные войныСоответствие законодательству РФ Общее Системы контентной веб-фильтрацииСоответствие требованиям регуляторов
Роскомнадзор не планирует снимать ограничения с WhatsApp

Роскомнадзор не собирается снимать ограничения на работу WhatsApp принадлежит корпорации Meta, признанной экстремистской и запрещённой в России в России. Об этом в ведомстве сообщили, отвечая на вопрос о возможном смягчении мер в отношении популярного мессенджера.

«В настоящее время Роскомнадзор не видит оснований для снятия ограничений работы WhatsApp», — заявили в службе, которую цитирует РИА Новости.

Ограничения начали вводить ещё в августе прошлого года. Тогда Роскомнадзор перешёл к частичному ограничению звонков в WhatsApp и Telegram, объяснив это необходимостью борьбы с преступниками. По данным ведомства, именно через мессенджеры мошенники часто обманывают россиян и вымогают у них деньги.

С тех пор позиция регулятора не изменилась. В конце ноября Роскомнадзор прямо заявил, что будет последовательно усиливать ограничительные меры в отношении WhatsApp. Причина всё та же — мессенджер, по версии ведомства, продолжает нарушать российское законодательство и не выполняет требования по противодействию преступлениям на территории страны.

В декабре в Роскомнадзоре пошли ещё дальше и дали понять, что сценарий с полной блокировкой остаётся на столе. Если WhatsApp не выполнит требования законодательства РФ, ограничения могут стать окончательными.

После этого WhatsApp публично раскритиковал действия российских властей, заявив, что ограничения работы мессенджера фактически лишают более 100 млн россиян права на приватное общение — причём накануне праздничного сезона.

Таким образом, говорить о «разморозке» работы сервиса пока не приходится. Напротив, регулятор даёт понять, что судьба WhatsApp в России напрямую зависит от того, готова ли компания идти на сотрудничество — или ограничения будут только усиливаться.

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
Бобры чуть не оставили без интернета часть Архангельской области
Новость
Бобры чуть не оставили без интернета часть Архангельской обл...
Фейковые VPN-аддоны для Chrome оказались инструментом тотального шпионажа
Новость
Фейковые VPN-аддоны для Chrome оказались инструментом тоталь...
Крупные ИТ-компании обяжут помогать профильным вузам
Новость
Крупные ИТ-компании обяжут помогать профильным вузам

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.