Γνωστό και ως Qakbot, Quakbot ή Pinkslipbot, το κακόβουλο λογισμικό Qbot είναι ένας προσαρμοστικός τραπεζικός Trojan που απειλεί σοβαρά την ασφάλειά σας.

Το κακόβουλο λογισμικό είναι πλέον τόσο κοινό που δημιουργούνται ολόκληρες «οικογένειες» κάθε είδους. Αυτό ισχύει για το Qbot, μια οικογένεια κακόβουλου λογισμικού που χρησιμοποιείται για την κλοπή δεδομένων. Αλλά από πού προήλθε το Qbot, πόσο επικίνδυνο είναι και μπορείτε να αποφύγετε;

Η προέλευση του Qbot

Όπως συμβαίνει συχνά με το κακόβουλο λογισμικό, το Qbot (επίσης γνωστό ως Qakbot, Quakbot ή Pinkslipbot) ανακαλύφθηκε μόνο όταν βρέθηκε στη φύση. Με όρους κυβερνοασφάλειας, το "in the wild" αναφέρεται σε ένα σενάριο στο οποίο μια μορφή κακόβουλου λογισμικού εξαπλώνεται μεταξύ στοχευμένων συσκευών χωρίς την άδεια των χρηστών. Πιστεύεται ότι το Qbot λειτουργεί τουλάχιστον από το 2007, καθιστώντας το μια αρκετά παλαιότερη μορφή κακόβουλου λογισμικού από πολλά δημοφιλή στελέχη που κυκλοφορούν σήμερα.

Πολλές μορφές κακόβουλου λογισμικού από τη δεκαετία του 2000 δεν χρησιμοποιούνται πλέον, απλώς και μόνο επειδή δεν είναι αρκετά αποτελεσματικές για να αντιμετωπίσουν τη σύγχρονη τεχνολογία. Αλλά το Qbot ξεχωρίζει εδώ. Τη στιγμή της γραφής, το Qbot λειτουργεί για τουλάχιστον 16 χρόνια, μια εντυπωσιακή διάρκεια ζωής για ένα πρόγραμμα κακόβουλου λογισμικού.

Από το 2007, το Qbot έχει παρατηρηθεί επανειλημμένα σε χρήση στην άγρια ​​φύση, αν και αυτό διακόπτεται επίσης από περιόδους στασιμότητας. Σε κάθε περίπτωση, εξακολουθεί να είναι μια δημοφιλής επιλογή μεταξύ των εγκληματιών του κυβερνοχώρου.

Το Qbot έχει εξελιχθεί με τα χρόνια και έχει χρησιμοποιηθεί από πολλούς χάκερ για πολλούς λόγους. Το Qbot ξεκίνησε ως Trojan, ένα πρόγραμμα που παραμένει κρυμμένο σε φαινομενικά αβλαβείς εφαρμογές. Τα Trojans μπορούν να χρησιμοποιηθούν για πολλούς κακόβουλους σκοπούς, συμπεριλαμβανομένης της κλοπής δεδομένων και της απομακρυσμένης πρόσβασης. Το Qbot, πιο συγκεκριμένα, ακολουθεί τα τραπεζικά διαπιστευτήρια. Για το λόγο αυτό, θεωρείται τραπεζικός Trojan.

Αλλά εξακολουθεί να ισχύει αυτό; Πώς λειτουργεί σήμερα το Qbot;

Πώς λειτουργεί το Qbot;

Το Qbot που βλέπουμε σήμερα έρχεται σε πολλές διαφορετικές μορφές, αλλά είναι πιο αξιοσημείωτο ένας τρόιος πληροφοριοκλέφτης. Όπως υποδηλώνει το όνομα, τα infostealer Trojans έχουν σχεδιαστεί για να κλέβουν πολύτιμα δεδομένα, όπως πληροφορίες πληρωμής, διαπιστευτήρια σύνδεσης και στοιχεία επικοινωνίας. Κυρίως, αυτός ο κύριος τύπος κακόβουλου λογισμικού Qbot χρησιμοποιείται για την κλοπή κωδικών πρόσβασης.

Παραλλαγές Qbot έχουν επίσης παρατηρηθεί να πραγματοποιούν keylogging, διεργασίες hooking, ακόμη και να επιτίθενται σε συστήματα μέσω backdoors.

Από τη δημιουργία του τη δεκαετία του 2000, το Qbot έχει τροποποιηθεί σε έχουν δυνατότητες backdoor, καθιστώντας το πολύ περισσότερο απειλή. Το backdoor είναι ουσιαστικά ένας ανεπίσημος τρόπος διείσδυσης σε ένα σύστημα ή δίκτυο. Οι χάκερ χρησιμοποιούν συχνά κερκόπορτες για να πραγματοποιήσουν τις επιθέσεις τους, καθώς τους δίνει έναν ευκολότερο τρόπο εισόδου. "Πίσω πόρτα. Qbot" είναι το όνομα που δόθηκε σε αυτήν την παραλλαγή του Qbot.

Αρχικά, το Qbot διαδόθηκε μέσω κακόβουλου λογισμικού Emotet, μιας άλλης μορφής Trojan. Σήμερα, το Qbot διαδίδεται συνήθως μέσω κακόβουλων καμπανιών ηλεκτρονικού ταχυδρομείου μέσω συνημμένων. Τέτοιες καμπάνιες περιλαμβάνουν την αποστολή μεγάλων όγκων ανεπιθύμητης αλληλογραφίας σε εκατοντάδες, ή ακόμα και χιλιάδες παραλήπτες, με την ελπίδα ότι ορισμένοι από τους στοχευμένους χρήστες θα αλληλεπιδράσουν.

Μέσα σε κακόβουλα συνημμένα email, το Qbot έχει συνήθως παρατηρηθεί ως αρχείο .zip που περιέχει ένα σταγονόμετρο XLS με μακροεντολή. Εάν ένας παραλήπτης ανοίξει ένα κακόβουλο συνημμένο, το κακόβουλο λογισμικό μπορεί να αναπτυχθεί στη συσκευή του, συχνά χωρίς να το γνωρίζει.

Το Qbot μπορεί επίσης να διαδοθεί μέσω κιτ εκμετάλλευσης. Αυτά είναι εργαλεία που βοηθούν τους εγκληματίες του κυβερνοχώρου στην ανάπτυξη κακόβουλου λογισμικού. Τα κιτ εκμετάλλευσης μπορούν να επισημάνουν ευπάθειες ασφαλείας μέσα στις συσκευές και, στη συνέχεια, να κάνουν κατάχρηση των εν λόγω τρωτών σημείων για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση.

Αλλά τα πράγματα δεν σταματούν με την κλοπή κωδικών πρόσβασης και τις κερκόπορτες. Οι χειριστές Qbot έχουν επίσης παίξει μεγάλο ρόλο ως Initial Access Brokers. Πρόκειται για εγκληματίες του κυβερνοχώρου που πωλούν πρόσβαση στο σύστημα σε άλλους κακόβουλους παράγοντες. Στην περίπτωση των ηθοποιών του Qbot, έχει παραχωρηθεί πρόσβαση σε ορισμένες τεράστιες ομάδες, συμπεριλαμβανομένου του REvil ransomware-as-a-service οργάνωση. Στην πραγματικότητα, έχουν παρατηρηθεί διάφορες θυγατρικές εταιρείες ransomware που χρησιμοποιούν το Qbot ως αρχική πρόσβαση στο σύστημα, δίνοντας σε αυτό το κακόβουλο λογισμικό έναν ακόμη ανησυχητικό σκοπό.

Το Qbot έχει εμφανιστεί σε πολλές κακόβουλες καμπάνιες και χρησιμοποιείται για τη στόχευση μιας σειράς βιομηχανιών. Οργανισμοί υγειονομικής περίθαλψης, τραπεζικοί ιστότοποι, κυβερνητικοί φορείς και κατασκευαστικές εταιρείες έχουν όλα στοχοποιηθεί από την Qbot. TrendMicro ανέφερε το 2020 ότι το 28,1 τοις εκατό των στόχων της Qbot βρίσκονται στον τομέα της υγειονομικής περίθαλψης.

Άλλοι οκτώ κλάδοι, μαζί με πολλούς διάφορους άλλους, εμπίπτουν επίσης στο εύρος στόχων του Qbot, όπως:

  • Βιομηχανοποίηση.
  • Κυβερνήσεις.
  • ΑΣΦΑΛΙΣΗ.
  • Εκπαίδευση.
  • Τεχνολογία.
  • Πετρέλαιο και φυσικό αέριο.
  • Μεταφορά.
  • Λιανεμποριο.

Η TrendMicro δήλωσε επίσης στην ίδια έκθεση ότι η Ταϊλάνδη, η Κίνα και οι ΗΠΑ είχαν τους υψηλότερους αριθμούς ανίχνευσης Qbot το 2020. Άλλες κοινές τοποθεσίες ανίχνευσης περιελάμβαναν την Αυστραλία, τη Γερμανία και την Ιαπωνία, επομένως το Qbot είναι προφανώς μια παγκόσμια απειλή.

Το Qbot υπάρχει τόσα χρόνια, επειδή οι τακτικές επίθεσης και αποφυγής του έχουν εξελιχθεί συνεχώς για να συμβαδίζουν με τα σύγχρονα μέτρα κυβερνοασφάλειας. Η ποικιλομορφία του Qbot το καθιστά επίσης τεράστιο κίνδυνο για τους ανθρώπους σε όλο τον κόσμο, καθώς μπορούν να στοχευτούν με πολλούς τρόπους χρησιμοποιώντας αυτό το πρόγραμμα.

Πώς να αποφύγετε το κακόβουλο λογισμικό Qbot

Είναι σχεδόν αδύνατο να αποφύγετε το κακόβουλο λογισμικό 100 τοις εκατό των περιπτώσεων. Ακόμη και το καλύτερο πρόγραμμα προστασίας από ιούς δεν μπορεί να σας προστατεύσει από επιθέσεις επ' αόριστον. Ωστόσο, η εγκατάσταση λογισμικού προστασίας από ιούς στη συσκευή σας θα διαδραματίσει κρίσιμο ρόλο στην προστασία σας από κακόβουλο λογισμικό. Αυτό θα πρέπει να θεωρείται το πρώτο βήμα όσον αφορά την ασφάλεια στον κυβερνοχώρο. Λοιπόν τι ακολουθεί?

Επειδή το Qbot διαδίδεται συνήθως μέσω καμπανιών ανεπιθύμητης αλληλογραφίας, είναι σημαντικό να γνωρίζετε τους δείκτες κακόβουλης αλληλογραφίας.

Υπάρχουν πολλές κόκκινες σημαίες που μπορούν να εκθέσουν ένα email ως κακόβουλο, ξεκινώντας από το περιεχόμενο. Εάν μια νέα διεύθυνση σάς έχει στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει έναν σύνδεσμο ή συνημμένο, είναι συνετό να αποφύγετε μέχρι να μάθετε με βεβαιότητα ότι μπορεί να είναι αξιόπιστη. Υπάρχουν διάφορα ιστοσελίδες ελέγχου συνδέσμων μπορείτε να το χρησιμοποιήσετε για να επαληθεύσετε τη νομιμότητα μιας διεύθυνσης URL, ώστε να γνωρίζετε εάν είναι ασφαλές να κάνετε κλικ.

Τα συνημμένα μπορεί να είναι εξίσου επικίνδυνα με τους συνδέσμους όταν πρόκειται για μόλυνση από κακόβουλο λογισμικό, επομένως πρέπει να είστε προσεκτικοί με αυτά όταν λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου.

Υπάρχουν ορισμένες επεκτάσεις αρχείων συνημμένων που τείνουν να χρησιμοποιούνται για τη διάδοση κακόβουλου λογισμικού, συμπεριλαμβανομένων των .pdf, .exe, .doc, .xls και .scr. Αν και αυτές δεν είναι οι μόνες επεκτάσεις αρχείων που χρησιμοποιούνται για μόλυνση από κακόβουλο λογισμικό, είναι από τους πιο συνηθισμένους τύπους, γι' αυτό να τις προσέχετε όταν λαμβάνετε συνημμένα αρχεία στα email σας.

Εάν σας σταλεί ποτέ ένα email από έναν νέο αποστολέα που περιέχει την αίσθηση του επείγοντος, θα πρέπει επίσης να είστε σε επιφυλακή. Οι εγκληματίες του κυβερνοχώρου τείνουν να χρησιμοποιούν πειστική γλώσσα στις επικοινωνίες τους για να ωθήσουν τα θύματα να συμμορφωθούν.

Για παράδειγμα, μπορεί να λάβετε ένα email που δηλώνει ότι ένας από τους λογαριασμούς σας στα μέσα κοινωνικής δικτύωσης έχει κλειδωθεί λόγω επανειλημμένων προσπαθειών σύνδεσης. Το email θα μπορούσε να λάβει έναν σύνδεσμο στον οποίο πρέπει να κάνετε κλικ για να συνδεθείτε στον λογαριασμό σας και να τον ξεκλειδώσετε, αλλά, μέσα πραγματικότητα, αυτός είναι ένας κακόβουλος ιστότοπος που έχει σχεδιαστεί για να κλέβει τα δεδομένα που εισάγετε (σε αυτήν την περίπτωση, τη σύνδεσή σας διαπιστευτήρια). Επομένως, εάν λάβετε ιδιαίτερα πειστικά μηνύματα ηλεκτρονικού ταχυδρομείου, σκεφτείτε εάν παραποιείτε τη συμμόρφωσή σας, καθώς αυτή είναι μια πολύ πραγματική πιθανότητα.

Το Qbot είναι μια κύρια μορφή κακόβουλου λογισμικού

Η αύξηση της ευελιξίας ενός προγράμματος κακόβουλου λογισμικού σχεδόν πάντα το καθιστά περισσότερο απειλή, και όσο περνάει ο καιρός, η διαφοροποίηση του Qbot το έχει εξασφαλίσει ως επικίνδυνη δύναμη. Αυτή η μορφή κακόβουλου λογισμικού μπορεί να συνεχίσει να εξελίσσεται με την πάροδο του χρόνου και πραγματικά δεν γνωρίζουμε ποιες δυνατότητες θα προσαρμοστεί στη συνέχεια.