Банковские трояны IcedID и Qbot

Когда приходится получать и отправлять много писем, велик соблазн читать их по диагонали и скачивать вложения на автомате. Злоумышленники активно этим пользуются и под важные документы маскируют фишинговые ссылки и вредоносные программы. Спам-рассылки замаскировались под деловую переписку. Так, были обнаружены банковские трояны IcedID и Qbot. 

Банковские трояны IcedID и Qbot существуют далеко не первый год. Так, IcedID впервые привлек внимание исследователей еще в 2017 году. А Qbot состоит на вооружении у киберпреступников с 2008 года. При этом злоумышленники постоянно совершенствуют свои приемы.

В марте 2021 троян IcedID впервые вошел в список самых активных угроз.
Исследователи компании Check Point опубликовали традиционный отчет Global Threat Impact Index за март 2021 года. Оказалось, что в этом месяце банковский троян IcedID (он же Bokbot) впервые вошел в рейтинг наиболее активных вредоносных программ, и сразу занял в нем второе место. После установки этот троян пытается похитить данные учетной записи, платежные данные и другую конфиденциальную информацию с устройств жертв. Также IcedID может распространяться с помощью других вредоносных программ и использоваться на начальной стадии атаки при операциях с программами-вымогателями.

И снова Qbot – новый штамм банковского трояна.
Исследовательская группа по безопасности Varonis отреагировала на случаи заражений Qbot. Похоже, что разработчики Qbot создавали новые штаммы с новой функциональностью, попутно улучшая возможности предотвращения обнаружения командами, отвечающими за информационную безопасность. Исследователи обнаружили и провели реверс-инжиниринг ещё одного нового штамма Qbot – сложного, широко известного вредоносного ПО, которое собирает данные, позволяющие совершать финансовые мошенничества. Вот примеры данных, которые собирает Qbot: cookies браузера, информация сертификатов, нажатие клавиш клавиатуры, пары логин-пароль и иные учётные данные, а также данные открытых сессий в веб-приложениях.

Главная задача троянов – воровать для своих операторов данные банковских карт и логины с паролями от банковских аккаунтов. Отсюда и деловой стиль рассылок. Для достижения своих целей зловреды пользуются различными методами.

  • Внедряют вредоносный скрипт в интересующую их веб-страницу, чтобы перехватывать данные, которые пользователь на ней вводит.
  • Перенаправляют посетителя онлайн-банка на поддельную страницу входа в личный кабинет, которая может выглядеть очень убедительно.
  • Извлекают из браузера сохраненные данные.

Основной компонент IcedID с некоторых пор прячется в PNG-изображении. Эта уловка называется стеганографией, и ее довольно-таки сложно обнаружить.
А Qbot умеет регистрировать нажатия клавиш, чтобы перехватить пароль прямо во время ввода.

Кража платежных данных – не единственная неприятность, ожидающая жертву вредоносного спама. Так, IcedID может загрузить на зараженное устройство других зловредов, например шифровальщиков. А Qbot, помимо прочего, ворует электронные письма, чтобы в дальнейшем использовать их в своих спам-кампаниях, и предоставляет своим операторам удаленный доступ к вашему компьютеру.

Как не стать жертвой банковских троянов

Чаще всего злоумышленники используют метод социальной инженерии, они полагаются на то, что получатель совершит несколько небезопасных действий, без которых вредоносный документ не сработает (например, откроет файл и разрешит ему выполнить макрос). Этого и нужно избежать.

  • Проверяйте, от кого пришло письмо. Если кто-то, представляющийся корпоративным агентом, пишет не с корпоративного, а с частного адреса на Gmail, и если вы не знаете, кто он такой – это подозрительно.
  • Помните: если присланный документ требует разрешить макросы или «контент», велика вероятность, что он вредоносный. Не запускайте макрос, если не уверены на сто процентов, что именно в этом файле он необходим.
  • Пользуйтесь надежным защитным решением.

По материалам сайтов kaspersky.ru, habr.com, xakep.ru

Яндекс.Метрика