یورش بدافزار Qbot به کسب و کارها

رضا فرخندگان ۱۴ اسفند ۱۳۹۷ ۰ دیدگاه

یورش بدافزار Qbot به کسب و کارها وارد مرحله‌ی جدیدی شده است. این بدافزار بسیار قدرتمند جهت سرقت اطلاعات مالی کسب‌وکارهای مختلف طراحی شده است.

Qbot چیست؟

Qbot یک بدافزار مالی ده‌ساله است که مجدداً وارد عمل شده و با نسخه‌ی جدیدش توانسته هزاران سیستم از کسب‌وکارهای مختلف را آلوده کند. محققان ارائه‌دهنده‌ی راه‌حل‌های امنیتی این حمله را پس از اظهارات یک مشتری درباره‌ی فعالیت‌های مشکوک در کامپیوترش، تشخیص دادند. پس از بررسی‌های صورت گرفته مشخص شد که عامل Qbot یا همان Qakbot قصد نفوذ به دیگر سیستم‌ها در آن شبکه داشته است.

یورش بدافزار Qbot به کسب و کارها

تاریخچه Qbot

Qbot نام یکی از معروف‌ترین بدافزارها در دهه‌ی گذشته است و چون مد منبع آن برای مجرمان اینترنتی در دسترس است، به‌راحتی اصلاح و گسترش پیدا می‌کند.

این برنامه‌ی مخرب کارش را به‌عنوان یک تروجان با سرقت آنلاین مدارک بانکی آغاز کرد و در این ۱۰ سال پیشرفت‌های زیادی داشته است.

بدافزار Qbot جدید چگونه کار می کند؟

این بدافزار توسط یک ایمیل با پسوند .doc.vbs ارسال می‌شود. VBS یک زبان برنامه‌نویسی است که بر روی سیستم‌عامل ویندوز پشتیبانی می‌شود. اگر ایمیل به هر دلیلی باز و اجرا شود، اسکریپت مخرب می‌تواند Qbot را از یک سرور کنترل‌کننده با استفاده از فرمان BITSAdmin دانلود کند.

نسخه‌های قبلی Qbot بدین منظور از PowerShell استفاده می‌کردند؛ اما ازآنجایی‌که PowerShell به‌عنوان یک بدافزار معروف شناخته شد، استفاده از آن توسط سیستم‌های شرکتی به‌سختی مانیتور می‌شود.

محققین اعلام کردند: ” لودر (Loader) این بدافزار که هسته‌ی مرکزی آن را اجرا می‌کند، ورژن‌های مختلفی دارد و به‌طور مداوم در حال به‌روزرسانی است”.

نسخه‌ی دریافت شده توسط قربانی این بدافزار به پارامتری که در فایل VBS کدگذاری شده است بستگی دارد؛ بنابراین کمپین‌های ایمیلی متفاوتی وجود دارند که انواع مختلفی از کاربران و سازمان‌ها را مورد هدف قرار می‌دهند.

محققین تابه‌حال هشت لودر را پیدا کرده‌اند که به‌صورت دیجیتالی به امضا رسیده‌اند. فایل‌های حاوی امضای دیجیتال، به معنی مخرب نبودن آن‌ها نیست. دقیقاً مثل سایتی که از HTTPS استفاده می‌کند که اصلاً دلیل نمی‌شود یک سایت بدافزاری یا فیشنیگ نباشد!

فایل‌های حاوی امضای دیجیتال، تهدیدهای کمتری برای ویندوز هستند و گاهی به‌صورت خودکار توسط عوامل امنیتی ویندوز در لیست سفید قرار می‌گیرند.

یورش بدافزار Qbot به کسب و کارها

پس از نصب Qbot چه اتفاقی می افتد؟

هنگامی‌که Qbot وارد سیستم شد، یک سری کارهای برنامه‌ریزی شده را ایجاد می‌کند. سپس تمام کارهای کاربر را ضبط کرده و مدارک و کوکی‌های تائید هویت (که بر روی مرورگر ذخیره شده‌اند) را به سرقت می‌برد. پس‌ازآن کدهای مخرب را وارد فرایندهای دیگر می‌کند تا رشته‌های متنی مربوط به فرآیندهای مالی را جست‌وجو و سرقت کند.

محققین تا امروز توانسته‌اند ۲۷۲۶ آی‌پی آدرس هک شده را شناسایی کنند که بیش از ۱۷۰۰ تا از آن‌ها در کشور آمریکا بوده‌اند. مابقی قربانیان مربوط به کشورهایی همچون کانادا، انگلستان، آلمان، فرانسه، برزیل، آفریقای جنوبی، هند، چین و روسیه هستند.

ازآنجایی‌که سیستم‌های یک سازمان عموماً از طریق یک IP آدرس اشتراکی به اینترنت متصل می‌شوند، محققین معتقدند که تعداد سیستم‌های آلوده‌ شده به بدافزار Qbot بسیار بیشتر از عدد ۲۷۲۶ است.

محققین این پدیده‌ی جدید را بازگشت Qbot نام‌گذاری کرده‌اند. بدافزاری بسیار قوی و البته به‌روز شده که بسیاری از سیستم‌های دنیا را آلوده کرده است.

فناوران شبکه سینداد (آهنگ نوآوری)

سینداد یعنی هدیه‌ی سیمرغ، یا فرزند سیمرغ؛ به عبارتی یعنی خود سیمرغ، با همه ی شگفتی هایش، اما جوانتر و سرزنده تر. و این چیزی است که ما سعی می کنیم در سینداد باشیم. از سال ۱۳۸۵ دانش مان را به صورت خدماتی در حوزه ی هاستینگ، شبکه و تولید نرم افزار در اختیار مشتریان مان قرار داده ایم و به این افتخار می کنیم که تک تک آنها تا به امروز همراه ما مانده اند. باور داریم که سینداد صرفاً یک شرکت نیست، بلکه نوعی باور است به ارائه ی شگفت انگیز از هر چیز.