近年来,QakBot已成为全球流行的银行木马之一。它的主要目的是窃取银行凭证(如登录名、密码等)。时至今日,QakBot仍在不断更新和发展,不断增加新的功能并更新其模块,以窃取信息并使收入最大化。
QakBot恶意软件入侵后,会监视金融业务、自我传播和安装勒索软件等,以便从受感染的企业机构中获得最大收益。并且,我国是该木马的主要攻击国,主要针对政府、金融、企业、医疗等关键行业。
QakBot传播方式
QakBot主要通过垃圾邮件传播和感染受害者的,其电子邮件附件包含Microsoft Office文档(Word、Excel)或带有密码保护的压缩文件。包含宏的文档会提示受害者打开附件,在某些情况下,电子邮件中包含指向传播恶意文档的网页的链接。它还可以通过已感染机器将QakBot有效负载传播到受害者的机器。
QakBot或劫持可信方邮件获取信息、植入恶意程序,让邮件不仅隐蔽性强还可绕过检测顺利抵达目标。
最近QakBot版本(2020-2021变体)的感染链如下:
1、用户收到一封带有ZIP附件的钓鱼电子邮件,其中包含一份带有嵌入宏的Office文档或恶意链接。
2、用户打开恶意附件/链接,并被诱导单击“启用内容”。
3、执行恶意宏。一些变体通过“GET”请求“PNG”,但该文件实际上是一个二进制文件。
4、加载的有效负载(stager)包括加密资源模块。其中一个加密资源具有DLL二进制文件(加载器),该文件在运行时解密。
5、“Stager”将“Loader”加载到内存中,内存在运行时解密并运行有效负载。
6、有效负载与C2服务器通信。
典型的QakBot具有如下功能:收集主机信息;创建计划任务;证书获取;凭证转储;密码窃取;网络注入;密码暴力破解;修改注册表;创建副本;注入进程;收集电子邮件数据等。
值得注意的是,近期QakBot发送给目标组织的网络钓鱼电子邮件以 COVID-19 诱饵,纳税提醒和工作招聘的形式出现,不仅包含恶意内容,而且还插入了双方之间的存档电子邮件线程以提供信誉的空气。Qakbot可以感染网络共享文件夹和驱动器,包括可移动的 U 盘。如果用户系统受到感染,建议断开与互联网连接以防止与服务器通信。
除QakBot银行木马外,还有Ursnif 银行木马、Emotet 银行木马、Gozi 银行木马等。俗话说,防御的前提是了解威胁,同时必须提前做好预防策略。
使用电子邮件证书
与SSL证书一样,电子邮件证书可以对电子邮件进行加密传输,防止电子邮件内容被他人窃取,防止信息泄露。目前,使用电子邮件证书是保护电子邮件安全最有效的解决方法之一。
使用电子邮件证书可以对电子邮件进行数字签名并传输加密,对于企业来说,可以为用户和员工提供身份验证,保护公司发送的重要文档,通过身份验证确保有权访问在线服务器的人员。
使用电子邮件证书对电子邮件进行数字签名并加密传输,可以有效防止上述情况的出现,电子邮件安全隐患,有效帮助企业减少损失,确保电子邮件的安全。