Zsarólóvírus a japán mamutnál - Leállt a Fujifilm

A napokban derült fény a Fujitsu ProjectWEB alkalmazás sérülékenységén keresztül megvalósult és a japán kormányzatot érintő adatszivárgási incidensre, most pedig egy másik japán mamut, a 20 milliárd dolláros éves forgalmat bonyolító, több mint 37 ezer munkavállalót foglalkoztató Fujifilm kényszerült térdre. 

Bár a Fujifilm nem részletezte, a kiberhirszerzéssel foglalkozó Advanced Intel  vezérigazgatója Vitali Kremez azt nyilatkozta, hogy a rendszerük szerint a Qbot (Quakbot) lehetett a fertőzés forrása.

A Qbot jellemzően email kampányokkal (például SPAM, phising) terjed, régebben kártékony makrókkal felturbózott csali dokumentumokat használt, azonban egy ideje már ZIP csatolmányként érkezik és olyan VBS kódot tartalmaz, amely  főleg az Internet Explorer miatt képes működni és letölteni a kártékony és futtatható kódot. 

Alapvetően a Qbot egy információlopásra specializált trójai, amely a hálózatba jutva képes a továbbterjedésre, illetve képes kiolvasni a leveleket az Outlook alkalmazásból és elküldeni a vezérlőszervernek, hogy válaszlevélnek tűnő további kamapánylevélként használják fel, jelszavakat tud kiolvasni a böngészőkből, munkameneteket eltéríteni, vagy a munkamenetek eltérítéséhez szükséges süti információkat ellopni.  Tartalamaz egy VNC plugint is, amelyen keresztül a támadó rá tud jelentkezni a megfertőzött munkaállomásra.

Feltehetően a hálózaton belüli terjedési képességei, illetve a VNC plugin miatt a ransomware csoportok előszeretettel használják a Qbot trójait terjesztési platformként, azaz a Qbot fertőzésen keresztül juttatják be a zsarolóvírust, és terjesztik el a hálózatban. 

A 2008 óta folyamatosan fejlődő Qbot 2020 augusztusára a 10. leggyakrabban használt malware kóddá vált, köszönhetően a széleskörű adatlopási technikáinak és a hálózaton belüli terjedési képességeinek. Egyféle svájci bicskaként funkcionál, nem véletlen, hogy a ransomware csoportok is elkezdték terjesztési platformként alkalmazni. 

Akit érdekel a Qbot működése, annak javasolt a CheckPoint remek analízisét elolvasni