QakBot マルウェアは、検出率が低いことが多いため、高いセキュリティ リスクをもたらします。 QakBot は XLSB ファイルを介して配布されるため、検出が困難です。
Qakbot はマルウェア界では目新しいものではありませんが、Hornetsecurity セキュリティ ラボは現在、新しいタイプの配布について警告しています。IT セキュリティの専門家は、XLSB ドキュメントで XLM マクロが QakBot マルウェアを拡散するために使用されていることを発見しました。 XLM マクロと XLSB ドキュメント形式はどちらも一般的ではないため、これらの新しい悪意のあるドキュメントは、現在のウイルス対策ソリューションでは検出率が非常に低くなります。
QakBotとは?
QakBot (別名 QBot、QuakBot、Pinkslipbot) は 2008 年から存在しています。このマルウェアは、Emotet が感染した被害者に QakBot ローダーをダウンロードすることで、Emotet 経由で配布されます。 ただし、QakBot は電子メールで直接配布されることもあります。 この目的のために、キャンペーンは電子メールの会話スレッド ハイジャックを使用します。つまり、被害者のメールボックスで見つかった電子メールに返信します。 QakBot は、ProLock ランサムウェアをダウンロードして攻撃をエスカレートさせることでも知られています。
攻撃が認識されないのはなぜですか?
XLSB ドキュメントの XLM マクロを介した QakBot 攻撃のシーケンス。 情報: Hornetsecurity Security Labs (クリックして拡大)
XLSB は、ファイルの読み取りと書き込みを高速化し、非常に複雑なスプレッドシートのサイズを縮小することを主な目的とするバイナリ Excel ワークブック形式です。 ただし、現在のコンピューティング能力とメモリの可用性により、このバイナリ形式の必要性は減少し、今日ではほとんど使用されていません.
Hornetsecurity Security Labs の専門家によると、これもあまり認識されていない古い XLM マクロとの組み合わせは、現在のドキュメントが VirusTotal にリストされているウイルス対策ソリューションのいずれによっても悪意のあるものとして識別されないことを意味します。
ZIPファイルに偽装
QakBot XLSB ファイルは、添付の ZIP ファイルで配布されます。 この ZIP ファイルには XLSB ドキュメントが含まれており、開くと DocuSign で暗号化されたドキュメントのふりをします。 ユーザーは、暗号化を解除するために「編集を有効にする」および「コンテンツを有効にする」必要があります。
URL は XLM マクロを使用して組み立てられ、PNG ファイルのダウンロードをシミュレートします。
実際には、PNG ファイルは QakBot ローダー実行可能ファイルです。
この攻撃方法に対して何ができるでしょうか?
- ほとんどのウイルス対策ソリューションは、最新の VBA マクロ マルウェアに焦点を当てていますが、現在ではあまり一般的ではない古い XLM マクロや XLSB ドキュメントの再出現を検出できないことがよくあります。
- したがって、企業は、新しい脅威や攻撃方法に最短時間で対応できる高度なセキュリティ サービスに依存する必要があります。
Hornetsecurity Security Lab のセキュリティ専門家は、ブログでこの攻撃方法の詳細な分析を提供しています。
詳細については、HornetSecurity.com をご覧ください。
Hornet Security について Hornetsecurity は、ヨーロッパを代表するドイツの電子メール クラウド セキュリティ プロバイダーであり、あらゆる規模の企業や組織の IT インフラストラクチャ、デジタル通信、およびデータを保護しています。 ハノーバーのセキュリティ スペシャリストは、冗長的に保護された世界中の 10 か所のデータ センターを介してサービスを提供しています。 製品ポートフォリオには、スパムおよびウイルス フィルタから、法的に準拠したアーカイブおよび暗号化、CEO 詐欺およびランサムウェアに対する防御まで、電子メール セキュリティのすべての重要な領域が含まれています。 Hornetsecurity は、200 か所に約 12 人の従業員を擁し、30 か国以上で国際ディーラー ネットワークを運営しています。