Операторы вредоносного ПО Qakbot становятся изворотливее

По словам исследователей Zscaler Threatlabz Таруна Девана и Адитьи Шармы, операторы Qakbot вновь изменили свои методы для обхода систем безопасности. Злоумышленники начали использовать ZIP-архивы, заманчивые имена файлов с популярными форматами и Excel (XLM) 4.0, чтобы обманом заставить жертв загрузить файлы с вредоносом внутри.

Кроме этого, хакеры значительно усложнили код, добавили новые уровни в цепочку атак, начали использовать несколько URL-адресов и неизвестные расширения файлов (.OCX, .ooccxx, .dat, .gyp) для развертывания полезной нагрузки.

Специалисты также отметили, что операторы Qakbot в мае перешли с макросов XLM на файлы .LNK, тем самым пытаясь противостоять блокировке макросов Office. Еще у хакеров нашлось несколько интересных модификаций, которые включают в себя:

• Использование PowerShell для загрузки DLL вредоносного ПО;

• Переход с regsvr32.exe на rundlll32.exe для развертывания полезной нагрузки.

Специалисты назвали эти модификации явным признаком развития Qakbot. Они считают, что таким образом злоумышленники пытаются обойти обновленные методы безопасности и средства защиты.