یورش بدافزار Qbot به کسب و کارها وارد مرحلهی جدیدی شده است. این بدافزار بسیار قدرتمند جهت سرقت اطلاعات مالی کسبوکارهای مختلف طراحی شده است.
Qbot یک بدافزار مالی دهساله است که مجدداً وارد عمل شده و با نسخهی جدیدش توانسته هزاران سیستم از کسبوکارهای مختلف را آلوده کند. محققان ارائهدهندهی راهحلهای امنیتی این حمله را پس از اظهارات یک مشتری دربارهی فعالیتهای مشکوک در کامپیوترش، تشخیص دادند. پس از بررسیهای صورت گرفته مشخص شد که عامل Qbot یا همان Qakbot قصد نفوذ به دیگر سیستمها در آن شبکه داشته است.
Qbot نام یکی از معروفترین بدافزارها در دههی گذشته است و چون مد منبع آن برای مجرمان اینترنتی در دسترس است، بهراحتی اصلاح و گسترش پیدا میکند.
این برنامهی مخرب کارش را بهعنوان یک تروجان با سرقت آنلاین مدارک بانکی آغاز کرد و در این ۱۰ سال پیشرفتهای زیادی داشته است.
این بدافزار توسط یک ایمیل با پسوند .doc.vbs ارسال میشود. VBS یک زبان برنامهنویسی است که بر روی سیستمعامل ویندوز پشتیبانی میشود. اگر ایمیل به هر دلیلی باز و اجرا شود، اسکریپت مخرب میتواند Qbot را از یک سرور کنترلکننده با استفاده از فرمان BITSAdmin دانلود کند.
نسخههای قبلی Qbot بدین منظور از PowerShell استفاده میکردند؛ اما ازآنجاییکه PowerShell بهعنوان یک بدافزار معروف شناخته شد، استفاده از آن توسط سیستمهای شرکتی بهسختی مانیتور میشود.
محققین اعلام کردند: ” لودر (Loader) این بدافزار که هستهی مرکزی آن را اجرا میکند، ورژنهای مختلفی دارد و بهطور مداوم در حال بهروزرسانی است”.
نسخهی دریافت شده توسط قربانی این بدافزار به پارامتری که در فایل VBS کدگذاری شده است بستگی دارد؛ بنابراین کمپینهای ایمیلی متفاوتی وجود دارند که انواع مختلفی از کاربران و سازمانها را مورد هدف قرار میدهند.
محققین تابهحال هشت لودر را پیدا کردهاند که بهصورت دیجیتالی به امضا رسیدهاند. فایلهای حاوی امضای دیجیتال، به معنی مخرب نبودن آنها نیست. دقیقاً مثل سایتی که از HTTPS استفاده میکند که اصلاً دلیل نمیشود یک سایت بدافزاری یا فیشنیگ نباشد!
فایلهای حاوی امضای دیجیتال، تهدیدهای کمتری برای ویندوز هستند و گاهی بهصورت خودکار توسط عوامل امنیتی ویندوز در لیست سفید قرار میگیرند.
هنگامیکه Qbot وارد سیستم شد، یک سری کارهای برنامهریزی شده را ایجاد میکند. سپس تمام کارهای کاربر را ضبط کرده و مدارک و کوکیهای تائید هویت (که بر روی مرورگر ذخیره شدهاند) را به سرقت میبرد. پسازآن کدهای مخرب را وارد فرایندهای دیگر میکند تا رشتههای متنی مربوط به فرآیندهای مالی را جستوجو و سرقت کند.
محققین تا امروز توانستهاند ۲۷۲۶ آیپی آدرس هک شده را شناسایی کنند که بیش از ۱۷۰۰ تا از آنها در کشور آمریکا بودهاند. مابقی قربانیان مربوط به کشورهایی همچون کانادا، انگلستان، آلمان، فرانسه، برزیل، آفریقای جنوبی، هند، چین و روسیه هستند.
ازآنجاییکه سیستمهای یک سازمان عموماً از طریق یک IP آدرس اشتراکی به اینترنت متصل میشوند، محققین معتقدند که تعداد سیستمهای آلوده شده به بدافزار Qbot بسیار بیشتر از عدد ۲۷۲۶ است.
محققین این پدیدهی جدید را بازگشت Qbot نامگذاری کردهاند. بدافزاری بسیار قوی و البته بهروز شده که بسیاری از سیستمهای دنیا را آلوده کرده است.
سینداد یعنی هدیهی سیمرغ، یا فرزند سیمرغ؛ به عبارتی یعنی خود سیمرغ، با همه ی شگفتی هایش، اما جوانتر و سرزنده تر. و این چیزی است که ما سعی می کنیم در سینداد باشیم. از سال ۱۳۸۵ دانش مان را به صورت خدماتی در حوزه ی هاستینگ، شبکه و تولید نرم افزار در اختیار مشتریان مان قرار داده ایم و به این افتخار می کنیم که تک تک آنها تا به امروز همراه ما مانده اند. باور داریم که سینداد صرفاً یک شرکت نیست، بلکه نوعی باور است به ارائه ی شگفت انگیز از هر چیز.