Троян QBot, который впервые появился в 2007 году и за это время заработал репутацию одного из самых стойких банковских вредоносных программ, продолжает развиваться и адаптироваться к современным методам защиты.
Недавний анализ компании ZScaler показал, что QBot не только активно использует DNS-туннелирование для скрытого обмена данными, но и приобрёл новые, более опасные способности.
После того как правоохранительные органы провели масштабную операцию по пресечению деятельности оператора QBot в августе 2024 года, специалисты вновь обнаружили его активность в сети. Вредоносные файлы, включая архив «pack.dat», содержат несколько подозрительных компонентов — exe- и dll-файлы, которые работают совместно для расшифровки скрытого PE-файла. Этот файл затем запускает дальнейшую вредоносную активность, что указывает на высокий уровень сложности операции.
Что интересно, QBot эволюционировал в нечто большее, чем просто банковский троян. Теперь он действует как модульная платформа, позволяющая запускать другие вредоносные программы. Один из новых модулей, BackConnect, следит за процессами на заражённой системе и передаёт информацию через зашифрованные каналы. При этом используются низкоуровневые методы работы с реестром Windows и обход стандартных защитных механизмов.
Новые тактики, такие как Sideloading, позволяют QBot обходить современные системы защиты и распространяться через связанный с ним вымогатель BlackBasta. Это делает атаку ещё более опасной, так как вредонос может распространяться через различные методы и встраиваться в привычные процессы.
Для борьбы с угрозой исследователи опубликовали YARA-правила для обнаружения новых версий QBot. Но предупреждают, что эффективность таких мер зависит от того, как быстро они будут внедрены в системы защиты.
Недавний анализ компании ZScaler показал, что QBot не только активно использует DNS-туннелирование для скрытого обмена данными, но и приобрёл новые, более опасные способности.
После того как правоохранительные органы провели масштабную операцию по пресечению деятельности оператора QBot в августе 2024 года, специалисты вновь обнаружили его активность в сети. Вредоносные файлы, включая архив «pack.dat», содержат несколько подозрительных компонентов — exe- и dll-файлы, которые работают совместно для расшифровки скрытого PE-файла. Этот файл затем запускает дальнейшую вредоносную активность, что указывает на высокий уровень сложности операции.
Что интересно, QBot эволюционировал в нечто большее, чем просто банковский троян. Теперь он действует как модульная платформа, позволяющая запускать другие вредоносные программы. Один из новых модулей, BackConnect, следит за процессами на заражённой системе и передаёт информацию через зашифрованные каналы. При этом используются низкоуровневые методы работы с реестром Windows и обход стандартных защитных механизмов.
Новые тактики, такие как Sideloading, позволяют QBot обходить современные системы защиты и распространяться через связанный с ним вымогатель BlackBasta. Это делает атаку ещё более опасной, так как вредонос может распространяться через различные методы и встраиваться в привычные процессы.
Для борьбы с угрозой исследователи опубликовали YARA-правила для обнаружения новых версий QBot. Но предупреждают, что эффективность таких мер зависит от того, как быстро они будут внедрены в системы защиты.
