QakBot kötü amaçlı yazılımı, genellikle düşük algılama oranı nedeniyle yüksek bir güvenlik riski oluşturur. QakBot, tespit edilmesini zorlaştıran XLSB dosyaları aracılığıyla dağıtılır.
Qakbot kötü amaçlı yazılım gökyüzünde yeni olmasa da, Hornetsecurity Güvenlik Laboratuvarı şimdi yeni bir dağıtım türü hakkında uyarıda bulunuyor: BT güvenlik uzmanları, XLM makrolarının, QakBot kötü amaçlı yazılımını yaymak için XLSB belgelerinde kullanıldığını keşfetti. Hem XLM makroları hem de XLSB belge biçimi nadir olduğundan, bu yeni kötü amaçlı belgelerin mevcut antivirüs çözümleri tarafından çok düşük bir algılama oranı vardır.
QakBot nedir?
QakBot (namı diğer QBot, QuakBot, Pinkslipbot) 2008'den beri var. Kötü amaçlı yazılım, Emotet'in enfekte kurbanlara QakBot yükleyiciyi indirmesini sağlayarak Emotet aracılığıyla dağıtılıyor. Ancak QakBot, doğrudan e-posta yoluyla da dağıtılır. Bu amaçla kampanyalar, e-posta konuşma dizisini ele geçirmeyi, yani kurbanların posta kutularında bulunan e-postaları yanıtlamayı kullanır. QakBot'un ProLock fidye yazılımını indirerek saldırıları artırdığı da biliniyor.
Saldırılar neden fark edilmiyor?
XLSB belgelerinde XLM makroları aracılığıyla bir QakBot saldırısı dizisi. Bilgi: Hornetsecurity Security Labs (Büyütmek için tıklayın)
XLSB, asıl amacı dosyada okuma ve yazmayı hızlandırmak ve çok karmaşık elektronik tabloların boyutunu küçültmek olan ikili bir Excel çalışma kitabı biçimidir. Bununla birlikte, mevcut bilgi işlem gücü ve bellek kullanılabilirliği ile bu ikili formata olan ihtiyaç azaldı ve bugün nadiren kullanılıyor.
Hornetsecurity Security Labs uzmanlarına göre, yine çok sık tanınmayan eski XLM makrolarıyla kombinasyon, mevcut belgelerin VirusTotal'da listelenen antivirüs çözümlerinden hiçbiri tarafından kötü niyetli olarak tanımlanmadığı anlamına geliyor.
Bir ZIP dosyasında gizlenmiş
QakBot XLSB dosyaları ekli bir ZIP dosyası olarak dağıtılır. Bu ZIP dosyası, açıldığında DocuSign şifreli bir belge gibi görünen XLSB belgesini içerir. Kullanıcının şifresini çözmek için "Düzenlemeyi Etkinleştir" ve "İçeriği Etkinleştir" gerekir.
URL, XLM makrosu kullanılarak birleştirilir ve bir PNG dosyasının indirilmesini simüle eder.
Gerçekte PNG dosyası, yürütülebilir QakBot yükleyicisidir.
Bu saldırı yöntemine karşı neler yapılabilir?
- Çoğu virüsten koruma çözümü, modern VBA makro kötü amaçlı yazılımlarına odaklanır, ancak günümüzde daha az yaygın olan yeniden ortaya çıkan eski XLM makrolarını ve XLSB belgelerini algılamada genellikle başarısız olur.
- Bu nedenle işletmeler, yeni tehditlere ve saldırı yöntemlerine mümkün olan en kısa sürede yanıt verebilen gelişmiş güvenlik hizmetlerine güvenmelidir.
Hornetsecurity Security Lab güvenlik uzmanları, bloglarında bu saldırı yönteminin ayrıntılı bir analizini sunuyor.
HornetSecurity.com'da daha fazla bilgi edinin
Hornet Güvenliği Hakkında Hornetsecurity, Avrupa'nın önde gelen Alman e-posta bulut güvenliği sağlayıcısıdır ve her büyüklükteki şirket ve kuruluşun BT altyapısını, dijital iletişimini ve verilerini korur. Hannover'den güvenlik uzmanı, hizmetlerini dünya çapında yedekli olarak güvenli 10 veri merkezi aracılığıyla sağlıyor. Ürün portföyü, spam ve virüs filtrelerinden yasal olarak uyumlu arşivleme ve şifrelemeye, CEO dolandırıcılığına ve fidye yazılımlarına karşı savunmaya kadar e-posta güvenliğinin tüm önemli alanlarını içerir. Hornetsecurity, dünya çapında 200 lokasyonda yaklaşık 12 çalışanı ile temsil edilmekte ve 30'dan fazla ülkede uluslararası bayi ağı ile faaliyet göstermektedir.