Botnet Qakbot atakuje ‒ wykrada hasła, dane z kont, informacje o innych urządzeniach w pobliżu
Przestępcy „podłączają” się do istniejącej konwersacji w skrzynce e-mailowej ofiary i podszywają się na przykład pod klienta, a następnie zachęcają do otwarcia złośliwego załącznika.
Złośliwe załączniki oraz linki rozsyłane są za pomocą spamu
Po zainfekowaniu komputera botnet może wykradać hasła do banku, dane z kont, a nawet informacje o innych urządzeniach w pobliżu.
Czytaj także: Uwaga! Trwa wysyłka fałszywych e-maili „Bezpieczny numer”‒ nie klikaj w link
Od złośliwej faktury do kradzieży danych
W ostatnich miesiącach botnet Qakbot jest częściej wykorzystywany przez cyberprzestępców, ponieważ „konkurencyjne” oprogramowanie, takie jak Emotet i Trickbot, było blokowane przez organy ścigania i firmy technologiczne.
Qakbot szczegółowo skanuje konta użytkownika i komputer – zainstalowane programy, uprawnienia, uruchomione usługi
Złośliwe załączniki oraz linki rozsyłane są za pomocą spamu. Cyberprzestępcy wstawiają swoje wiadomości w istniejące wątki na skrzynkach ofiary. E-mail zachęca do pobrania fałszywej faktury lub innego dokumentu Word lub Excel. Otwarcie takiego pliku i kliknięcie w opcję „Włącz edytowanie” powoduje zainfekowanie komputera złośliwym oprogramowaniem.
Po aktywowaniu, Qakbot szczegółowo skanuje konta użytkownika i komputer – zainstalowane programy, uprawnienia, uruchomione usługi oraz możliwość połączenia się z innymi urządzeniami znajdującymi się w pobliżu. Może wykradać hasła z przeglądarki i plików cookie, dane logowania do bankowości elektronicznej czy e-maile ze skrzynki ofiary i przekazywać te informacje na serwer przestępców.
Pozyskana w ten sposób lista kontaktów i wiadomości służy do rozsyłania spamu do kolejnych osób. Botnet używa zaawansowanego szyfrowania do ukrywania swoich działań, dlatego trudno go wykryć.
Czytaj także: 5 cyberzagrożeń związanych z mediami społecznościowymi i 7 sposobów, jak się przed nimi bronić
Sygnały ostrzegawcze – na co uważać?
Qakbot włącza się w prawdziwą konwersację e-mailową, dlatego dla potencjalnych ofiar może być trudne rozpoznanie czy wiadomość napisał klient lub kontrahent, czy też jest to próba ataku.
– Niezmiennie kluczowa jest ostrożność użytkowników. Wszelkie nietypowe lub nieoczekiwane e-maile powinny budzić podejrzenia, nawet jeśli wydają się być odpowiedzią na wcześniejsze wiadomości w ramach jednego wątku.
Warto zwracać uwagę na wszelkie nieścisłości i błędy językowe. W ostatniej kampanii Qakbot charakterystyczne było użycie łacińskich fraz w adresach URL. Czasem może to też być też brak polskich znaków lub problemy z ich zapisem – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Botnety często są wykorzystywane jako pierwsze stadium ataku ransomware, ich twórcy mogą też sprzedawać informacje i dostęp do naruszonych sieci innym przestępcom.
Wszelkie nietypowe lub nieoczekiwane e-maile powinny budzić podejrzenia
Dlatego zespoły ds. bezpieczeństwa w firmach powinny na bieżąco monitorować sieć i usuwać wszelkie ślady złośliwego oprogramowania. Ważne jest też sprawdzanie czy stosowane rozwiązania ochronne zapobiegają takim infekcjom.
Czytaj także: Wzmożone ataki cyberoszustów na polskich abonentów, lepiej nie oddzwaniać na nieznane numery