Зловмисне програмне забезпечення QakBot створює високий ризик для безпеки через низький рівень виявлення. QakBot поширюється через файли XLSB, що ускладнює його виявлення.
Хоча Qakbot не новачок на небі зловмисного програмного забезпечення, лабораторія безпеки Hornetsecurity тепер попереджає про новий тип розповсюдження: експерти з ІТ-безпеки виявили, що макроси XLM використовуються в документах XLSB для поширення шкідливого програмного забезпечення QakBot. Оскільки як макроси XLM, так і формат документа XLSB є незвичайними, ці нові шкідливі документи мають дуже низький рівень виявлення поточними антивірусними рішеннями.
Що таке QakBot?
QakBot (він же QBot, QuakBot, Pinkslipbot) існує з 2008 року. Зловмисне програмне забезпечення поширюється через Emotet, коли Emotet завантажує завантажувач QakBot на інфікованих жертвах. Однак QakBot також розповсюджується безпосередньо електронною поштою. Для цього кампанії використовують викрадення ланцюжка розмов електронною поштою, тобто відповідають на листи, знайдені в поштових скриньках жертв. Відомо, що QakBot посилює атаки, завантажуючи програми-вимагачі ProLock.
Чому напади не розпізнаються?
Послідовність атаки QakBot через макроси XLM у документах XLSB. Інформація: Hornetsecurity Security Labs (клацніть, щоб збільшити)
XLSB — це двійковий формат робочої книги Excel, основна мета якого — прискорити читання та запис у файлі та зменшити розмір дуже складних електронних таблиць. Однак із поточною обчислювальною потужністю та наявністю пам’яті потреба в цьому двійковому форматі зменшилася, і сьогодні він рідко використовується.
За словами експертів Hornetsecurity Security Labs, поєднання зі старими макросами XLM, які також не дуже часто розпізнаються, означає, що поточні документи не ідентифікуються як шкідливі жодним із антивірусних рішень, перелічених на VirusTotal.
Замаскований у файлі ZIP
Файли QakBot XLSB поширюються у прикріпленому файлі ZIP. Цей ZIP-файл містить документ XLSB, який під час відкриття видає себе за зашифрований документ DocuSign. Користувач повинен «Увімкнути редагування» та «Увімкнути вміст», щоб розшифрувати його.
URL-адреса збирається за допомогою макросу XLM і імітує завантаження файлу PNG.
Насправді файл PNG є виконуваним файлом завантажувача QakBot.
Що можна зробити проти цього методу атаки?
- Більшість антивірусних рішень зосереджені на сучасному зловмисному програмному забезпеченні макросів VBA, але часто не виявляють старих макросів XLM і документів XLSB, які є менш поширеними сьогодні.
- Тому підприємства повинні покладатися на передові служби безпеки, які здатні реагувати на нові загрози та методи атак у найкоротший термін.
Експерти з безпеки з Hornetsecurity Security Lab надають детальний аналіз цього методу атаки у своєму блозі.
Дізнайтеся більше на HornetSecurity.com
Про Hornet Security Hornetsecurity є провідним європейським німецьким постачальником послуг хмарної безпеки електронної пошти, який захищає ІТ-інфраструктуру, цифровий зв’язок і дані компаній і організацій будь-якого розміру. Спеціаліст із безпеки з Ганновера надає свої послуги через 10 центрів обробки даних із резервним захистом по всьому світу. Портфоліо продуктів включає всі важливі сфери безпеки електронної пошти, від фільтрів спаму та вірусів до архівування та шифрування, що відповідає вимогам законодавства, до захисту від шахрайства генерального директора та програм-вимагачів. Hornetsecurity представлена в усьому світі близько 200 співробітниками в 12 місцях і працює через свою міжнародну дилерську мережу в більш ніж 30 країнах.