Новости Операторы QBot теперь используют OneNote для распространения трояна по электронной почте

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Если вы ведёте переписку, будьте готовы, что ваш собеседник вдруг поделится с вами необычным вложением.​


y7o2spitld6p49jgclglah7jy6yfevwf.jpg


Специалисты ИБ-компании Sophos обнаружили новую кампанию QBot, получившую название «QakNote», которая использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном.

В Для просмотра ссылки Войди или Зарегистрируйся говорится, что кампания началась 31 января 2023 года и использует файлы OneNote, содержащие встроенное HTML-приложение (HTA-файл), которое извлекает полезную нагрузку вредоносного ПО QBot. Об этом переходе в дистрибутиве QBot впервые Для просмотра ссылки Войди или Зарегистрируйся исследователь Cynet Макс Малютин в Для просмотра ссылки Войди или Зарегистрируйся * 31 января 2023 года.

Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки Для просмотра ссылки Войди или Зарегистрируйся -файла Qbot в папку «C:\ProgramData», а затем выполняется с помощью «Rundll32.exe».

Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.

Sophos сообщает, что операторы QBot используют 2 метода распространения HTA-файлов: первый — отправка электронных писем со встроенной ссылкой на заражённый файл «.one», а второй — метод «внедрения потоков».

Техника внедрения потоков представляет собой процесс, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» всем участникам потока, прикладывая к письму вредоносный файл OneNote в качестве вложения.

Чтобы сделать эти атаки еще более обманчивыми для жертв, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака, но при нажатии вместо этого запускает встроенное HTA-вложение. Хотя после нажатия на кнопку пользователю отобразится предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.


yrgjp62uxjsnbn5efycb9tb23juq8qh3.png


Поддельная кнопка в файле В качестве защиты от этого нового вектора атаки Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением «.one», поскольку они обычно не отправляются в виде вложений.

*Социальная сеть Twitter запрещена на территории РФ.
 
Источник новости
www.securitylab.ru

Похожие темы