Операторы вредоносного ПО Qakbot становятся изворотливее

Чт 14 Июль 2022 15:41

По словам исследователей Zscaler Threatlabz Таруна Девана и Адитьи Шармы, операторы Qakbot вновь изменили свои методы для обхода систем безопасности. Злоумышленники начали использовать ZIP-архивы, заманчивые имена файлов с популярными форматами и Excel (XLM) 4.0, чтобы обманом заставить жертв загрузить файлы с вредоносом внутри.

Кроме этого, хакеры значительно усложнили код, добавили новые уровни в цепочку атак, начали использовать несколько URL-адресов и неизвестные расширения файлов (.OCX, .ooccxx, .dat, .gyp) для развертывания полезной нагрузки.

Специалисты также отметили, что операторы Qakbot в мае перешли с макросов XLM на файлы .LNK, тем самым пытаясь противостоять блокировке макросов Office. Еще у хакеров нашлось несколько интересных модификаций, которые включают в себя:

Использование PowerShell для загрузки DLL вредоносного ПО;

Переход с regsvr32.exe на rundlll32.exe для развертывания полезной нагрузки.

Специалисты назвали эти модификации явным признаком развития Qakbot. Они считают, что таким образом злоумышленники пытаются обойти обновленные методы безопасности и средства защиты.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 261 день 15 часов 11 минут
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.