QakBot मैलवेयर अक्सर कम पहचान दर के कारण उच्च सुरक्षा जोखिम पैदा करता है। QakBot को XLSB फाइलों के माध्यम से वितरित किया जाता है, जिससे इसका पता लगाना मुश्किल हो जाता है।
हालांकि काकबोट मालवेयर आकाश के लिए नया नहीं है, हॉर्नेटसिक्योरिटी सिक्योरिटी लैब अब एक नए प्रकार के वितरण की चेतावनी दे रही है: आईटी सुरक्षा विशेषज्ञों ने पता लगाया है कि एक्सएलएम मैक्रोज़ का उपयोग एक्सएलएसबी दस्तावेजों में क्यूकबोट मैलवेयर फैलाने के लिए किया जाता है। चूंकि XLM मैक्रोज़ और XLSB दस्तावेज़ प्रारूप दोनों ही असामान्य हैं, इसलिए इन नए दुर्भावनापूर्ण दस्तावेज़ों में वर्तमान एंटीवायरस समाधानों द्वारा बहुत कम पहचान दर है।
काकबोट क्या है?
QakBot (उर्फ QBot, QuakBot, Pinkslipbot) 2008 से अस्तित्व में है। संक्रमित पीड़ितों पर Emotet द्वारा QakBot लोडर डाउनलोड करके मैलवेयर Emotet के माध्यम से वितरित किया जाता है। हालाँकि, QakBot को सीधे ईमेल के माध्यम से भी वितरित किया जाता है। इस उद्देश्य के लिए, अभियान ईमेल वार्तालाप थ्रेड हाइजैकिंग का उपयोग करते हैं - यानी पीड़ितों के मेलबॉक्स में मिले ईमेल का जवाब देना। QakBot को ProLock रैंसमवेयर डाउनलोड करके हमलों को बढ़ाने के लिए भी जाना जाता है।
हमलों की पहचान क्यों नहीं होती?
एक्सएलएसबी एक बाइनरी एक्सेल वर्कबुक प्रारूप है जिसका मुख्य उद्देश्य फ़ाइल में पढ़ने और लिखने में तेजी लाना और बहुत जटिल स्प्रेडशीट के आकार को कम करना है। हालांकि, वर्तमान कंप्यूटिंग शक्ति और स्मृति उपलब्धता के साथ, इस बाइनरी प्रारूप की आवश्यकता कम हो गई है और आज शायद ही कभी इसका उपयोग किया जाता है।
हॉर्नेटसिक्योरिटी सिक्योरिटी लैब्स के विशेषज्ञों के अनुसार, पुराने एक्सएलएम मैक्रोज़ के साथ संयोजन, जिसे बहुत बार पहचाना भी नहीं जाता है, का अर्थ है कि वर्तमान दस्तावेज़ों को वायरसटोटल पर सूचीबद्ध किसी भी एंटीवायरस समाधान द्वारा दुर्भावनापूर्ण के रूप में पहचाना नहीं गया है।
एक ज़िप फ़ाइल में प्रच्छन्न
QakBot XLSB फाइलें संलग्न ZIP फाइल में वितरित की जाती हैं। इस ZIP फ़ाइल में XLSB दस्तावेज़ है, जिसे खोले जाने पर, दस्तावेज़साइन एन्क्रिप्टेड दस्तावेज़ होने का दिखावा करता है। उपयोगकर्ता को इसे डिक्रिप्ट करने के लिए "संपादन सक्षम करें" और "सामग्री सक्षम करें" होना चाहिए।
URL को XLM मैक्रो का उपयोग करके इकट्ठा किया जाता है और PNG फ़ाइल डाउनलोड करने का अनुकरण करता है।
वास्तव में, PNG फ़ाइल QakBot लोडर निष्पादन योग्य है।
इस हमले के तरीके के खिलाफ क्या किया जा सकता है?
- अधिकांश एंटीवायरस समाधान आधुनिक VBA मैक्रो मालवेयर पर ध्यान केंद्रित करते हैं, लेकिन अक्सर पुराने XLM मैक्रोज़ और XLSB दस्तावेज़ों का पता लगाने में विफल रहते हैं जो आज कम आम हैं।
- व्यवसायों को इसलिए उन्नत सुरक्षा सेवाओं पर भरोसा करना चाहिए जो कम से कम समय में नए खतरों और हमले के तरीकों का जवाब देने में सक्षम हैं।
हॉर्नेटसिक्योरिटी सिक्योरिटी लैब के सुरक्षा विशेषज्ञ अपने ब्लॉग पर इस हमले के तरीके का विस्तृत विश्लेषण प्रदान करते हैं।
HornetSecurity.com पर और जानें
हॉर्नेट सुरक्षा के बारे में हॉर्नेटसिक्योरिटी ई-मेल के लिए यूरोप का अग्रणी जर्मन क्लाउड सुरक्षा प्रदाता है और आईटी इंफ्रास्ट्रक्चर, डिजिटल संचार और सभी आकार की कंपनियों और संगठनों के डेटा की सुरक्षा करता है। हनोवर के सुरक्षा विशेषज्ञ दुनिया भर में 10 अनावश्यक रूप से सुरक्षित डेटा केंद्रों के माध्यम से अपनी सेवाएं प्रदान करते हैं। उत्पाद पोर्टफोलियो में ई-मेल सुरक्षा के सभी महत्वपूर्ण क्षेत्र शामिल हैं, स्पैम और वायरस फिल्टर से कानूनी रूप से अनुपालन संग्रह और एन्क्रिप्शन के माध्यम से सीईओ धोखाधड़ी और रैंसमवेयर के खिलाफ बचाव के लिए। Hornetsecurity 200 स्थानों पर लगभग 12 कर्मचारियों के साथ विश्व स्तर पर प्रतिनिधित्व करती है और 30 से अधिक देशों में अपने अंतरराष्ट्रीय डीलर नेटवर्क के साथ काम करती है।