توزیع تروجان QBot از طریق ایمیل‌های سازمانی

هکرهایی در حال توزیع تروجان‌های QBot از طریق مکاتبات کاری و سازمانی هستند. متخصصین کسپرسکی در اویل ماه آوریل، کمپین ایمیل انبوهی را کشف کردند که پیام‌هایی با پیوست pdf مخرب را ارسال می‌کرده است. هدف اصلی این مهاجمین، سازمان‌ها و شرکت‌ها بوده است. یک فایل داکیومنت خطرناک به مکاتبات کاری ضمیمه می‌گردد (ایمیل‌هایی به زبان‌های انگلیسی، آلمانی، ایتالیایی و فرانسوی مشاهده شده است). هدف اصلی این کمپین، توزیع بدافزار QBot که با نام‌های QakBot، QuackBot یا Pinkslipbot نیز شناخته می‌شوند و آلوده کردن سیستم‌های قربانیان می باشد. جالب است بدانید که حدود یک سال پیش متخصصین کسپرسکی افزایش ناگهانی کمپین‌های مشابهی که حاوی بدافزار بوده‌اند و در بین آنها تروجان QBot نیز دیده می‌شد را مشاهده کرده بودند.

از نگاه قربانیان، این حملات به چه صورت می‌باشد؟

این حملات بر پایه تاکتیک سرقت مکالمه می‌باشد. هکرها به مکاتبات اصلی اداری دسترسی پیدا کرده و QBot علاوه بر سایر اطلاعات، ایمیل‌های ذخیره شده را نیز بصورت Local از کامپیوترهای قبلی قربانیان سرقت کرده و به متن ایمیل‌ها این بدافزار را attach می‌کند، طوری که کاربران تصور می‌کنند؛ مکالمات قبلی خود را پیش می‌برند. این ایمیل‌ها حاوی فایل‌های pdf مخربی بوده که خود را جای فهرست هزینه‌ها یا سایر مستندات اداری که نیازمند واکنش سریع قربانیان هستند، جا می‌زنند. در واقع فایل‌های pdf حاوی نوتیفیکیشن‌های تقلیدی از مایکروسافت آفیس 365 یا مایکروسافت آژور می‌باشد. کار این نوتیفیکیشن‌ها تشویق قربانیان به کلیک بر روی دکمه Open می‌باشد. اگر قربانیان عمل کلیک را انجام دهند، یک فایل آرشیو که با پسورد محافظت می‌شود بر روی کامپیوتر قربانی دانلود می‌گردد. سپس از قربانی اتنظار می‌رود آرشیو آن را آنپک کرده و فایل اسکریپت ویندوزی با پسوند .wsf را داخل آن اجرا نماید. اسکریپت آلوده از سرور ریموت اقدام به دانلود بدافزار QBot می‌نماید.

آلودگی با تروجان QBot منجر به چه خواهد شد؟

متخصصین کسپرسکی، تروجان QBot را جزء بدافزارهای بانکی قرار داده که به مهاجمین اجازه می‌دهد تا اطلاعات محرمانه اعم از پسوردها، کوکی‌ها و ... را از مرورگرها ماین کرده، اطلاعات آن را به سرقت برده، جاسوسی فعالیت‌های بانکی قربانی را کرده و تمامی فعالیت‌های انجام شده بر روی دکمه‌های کیبورد را ضبط نماید. همچنین مهاجمان QBot می‌توانند بدافزارهای دیگری همچون باج‌افزار را بر روی سیستم های قربانی خود نصب کنند.

راهکارهای امنیتی

برای حفاظت از اطلاعات شرکت یا سازمان خود در برابر فعالیت‌های شرورانه مهاجمین توصیه می‌کنیم راهکارهای امنیت سایبری قابل‌اطمینانی روی همه دستگاه‌هایی که به اینترنت متصل‌اند، نصب کنید. همچنین درگاه ایمیل خود را با نرم‌افزارها و سخت‌افزارهایی تجهیز کنید که قادر باشند ایمیل‌های مخرب، اسپم یا فیشینگ را فیلتر کنند. در آخر به‌منظور ارتقاء دانش کارمندان خود، برای اینکه به‌طور مستقل ترفندهای مهاجمین را شناسایی کنند توصیه می‌کنیم مرتباً در خصوص تهدیدهای سایبری مدرن بدان‌ها آگاهی دهید و کلاس‌های آموزشی برگزار کنید.