به گزارش ترفندستان به نقل از کانال تلگرامی ITsec NEWS
.
تروجان QBot، که با نامهای Qakbot و Pinkslipbot نیز شناخته میشود، از سال ۲۰۰۷ بهعنوان یکی از پایدارترین بدافزارهای بانکی فعالیت میکند و بهتازگی با ویژگیهای جدیدی برای دور زدن مکانیزمهای امنیتی بازگشته است. در آگوست ۲۰۲۴، مقامات قانونی عملیات گستردهای برای متوقفکردن فعالیتهای QBot انجام دادند؛ اما شرکت ZScaler اکنون ارتباط بین عملکردهای QBot و تهدیدات دیگری مانند بدافزار Zloader را کشف کرده است که از تونلزنی DNS برای انتقال مخفیانه دادهها استفاده میکند.
تحلیل فایلهای مخرب نشان داده است که نمونههایی حاوی آرشیو «pack.dat» شامل چندین مؤلفه مشکوک، از جمله فایلهای exe و dll هستند که با همکاری یکدیگر، فایل PE مخفی را رمزگشایی و فعالیتهای مخرب بعدی را آغاز میکنند. استفاده از الگوریتم رمزنگاری RC4 نشاندهنده سطح بالای پیچیدگی این بدافزار است.
تحقیقات نشان میدهد که QBot با ساختار ماژولار جدیدی تکامل یافته است که امکان اجرای ماژولهای مخرب دیگر را فراهم میکند. بهعنوان مثال، ماژول جدید BackConnect برای نظارت بر فرآیندها و انتقال اطلاعات سیستمهای آلوده از طریق کانالهای رمزگذاریشده طراحی شده است. این ماژول از توابع سطح پایین برای کنترل فرآیندها و دسترسی به رجیستری ویندوز استفاده میکند و مکانیزمهای استاندارد حفاظتی را دور میزند.
نظارتهای بیشتر نشان میدهد که فعالیت QBot با کمپین انتشار باجافزار BlackBasta مرتبط است. تاکتیکهای مدرن مانند Sideloading به مهاجمان اجازه میدهد تا حملات را توسعه داده و روشهای سنتی امنیتی را مؤثرتر دور بزنند. محققان هشدار میدهند که این روشها میتوانند برای حملات بیشتر با استفاده از باجافزارها به کار گرفته شوند.
برای مقابله با این تهدید، ZScaler قوانین YARA را منتشر کرده است که شناسایی نسخههای جدید بدافزار را ممکن میسازد؛ اما کارایی این اقدامات به سرعت اجرای آنها در سیستمهای حفاظتی بستگی دارد.