Компанія Sophos X-Ops виявила та проаналізувала новий варіант шкідливого ПЗ Qakbot. Ці випадки вперше з’явилися в середині грудня і показують, що зловмисне програмне забезпечення Qakbot продовжує розвиватися, незважаючи на успішний демонтаж правоохоронними органами інфраструктури ботнету в серпні минулого року.
Зловмисники використовують ще кращі методи, щоб замести сліди. Випадки, проаналізовані Sophos X-Ops, показують, що кіберзлочинці доклали спільних зусиль для посилення шифрування шкідливого ПЗ. Це ускладнило захисникам аналіз шкідливого коду. Крім того, зловмисники тепер шифрують усі зв’язки між зловмисним програмним забезпеченням і сервером керування, використовуючи більш надійний метод, ніж у попередніх версіях. Зловмисне програмне забезпечення також повторно запровадило раніше видалену функцію, яка запобігає його запуску у віртуальному середовищі або пісочниці.
Творець Qakbot все ще активний
Лише якщо творців бота притягнуть до відповідальності, Quakbot може закінчитися. «Демонтаж інфраструктури ботнету Qakbot був перемогою, але творці бота залишаються активними», — сказав Ендрю Брандт, головний науковий співробітник Sophos X-Ops, коментуючи нещодавні інциденти з Qakbot. «Кіберзлочинці, які мають доступ до оригінального вихідного коду Qakbot, експериментують з новими варіантами та перевіряють їх у реальному використанні.
Одна з найбільш помітних змін стосується алгоритму шифрування, який бот використовує для приховування жорстко закодованих конфігурацій за замовчуванням. Через це аналітикам ще важче зрозуміти, як працює зловмисне програмне забезпечення. Зловмисники також відновлюють раніше застарілі функції, такі як виявлення віртуальної машини (VM), і тестують їх у цих нових версіях. Цілком ймовірно, що розробка Qakbot триватиме до тих пір, поки його творці не будуть переслідовані. Хороша новина полягає в тому, що ці нові варіанти Qakbot із раніше створеними підписами можна легко виявити за допомогою програмного забезпечення для виявлення кінцевих точок.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.
Статті по темі