HaberlerSiber GüvenlikTeknolojiQbot virüsü, tekrar saldırıya başladı

Qbot virüsünün işletmelerin finansal bilgilerini çalmak için tasarlandığı ortaya çıktı. 
3 Mart 2019386

İlk olarak 10 yıl önce ortaya çıkan Qbot virüsü, o zamandan beri binlerce işletmenin sistemine sızmış olarak iyileştirilmiş ve yeni bir sürümle yeniden yüzeye çıktı. Varonis’te bir güvenlik çözümleri sağlayıcısı müşterisinin bilgisayarındaki şüpheli bir etkinlik şikayeti üzerine saldırıyı ortaya çıkardı. Suçlu yazılımın, ağdaki diğer sistemlere de yayılmaya çalışan Qakbot olarak da bilinen yeni Qbot enfeksiyonu olduğu ortaya çıktı.

Son 10 yılın en başarılı kötü amaçlı yazılımlarından biri olan Qbot’un kaynak kodu siber suçluların kullanımını açık olduğu için kolayca değiştirilebilir ve genişletilebilir durumda. Bu virüs, çevrimiçi bankacılıkta kullanılan kimlik bilgilerini çalmak için tasarlanmış bir Trojan virüsü olarak yaratılmış olsa da yıllar içinde birçok gelişme kaydetti.

Qbot ilginç bir şekilde yarı polimorfik bir tehdit olarak görülüyor. Çünkü komut ve kontrol sunucuları antivirüs algılamasından kaçınmak için düzenli aralıklarla kodu ve yapılandırmayı yeniden karıştırıyor.

YENİ QBOT SALDIRISI NASIL GERÇEKLEŞİYOR?

Varonis tarafından araştırılan saldırıda yükleyiciye muhtemelen .doc.vbs. uzantılı bir e-posta olarak gönderiliyor. Program çalıştırıldığında kötü amaçlı komut dosyası Windows BITSAdmin komut satırı aracını kullanarak Qbot yükleyicisini bir komut-kontrol sunucusundan indiriyor.

Önceki Qbot sürümleri PowerShell’i bu amaç için kullanıyordu ancak PowerShell yaygın bir kötü amaçlı yazılım dağıtımı yöntemi haline geldiği için kullanımı kurumsal sistemlerde yakından izleniyor.

Varonis araştırmacıları bu virüsün açıldıktan sonra sürekli güncellendiğini belirtti.

Mağdur tarafından açılan bu kötü amaçlı yazılım VBS dosyasında kodlanmış bir parametreye bağlı olduğundan farklı türde kullanıcıları ve kuruluşları hedef alan farklı e-posta kampanyaları olabiliyor. Ayrıca Varonis, bu virüsün dijital olarak imzalanmış ve muhtemelen çeşitli kuruluşlardan çalınan sekiz farklı kod imzalama sertifikası ile yükleyicileri bulduğunu da keşfetti.

Herhangi Bir web sitesinin HTTPS olmasına rağmen kötü amaçlı yazılımlar içermediği anlamına gelmediği gibi bir dosyanın da dijital olarak imzalanmış olması da kötü amaçlı bir yazılım taşımadığı anlamına gelmiyor. Bununla birlikte dijital olarak imzalanmış olan dosyalar Windows’ta daha az korkutucu uyarıları tetikler ve bazen kötü yapılandırılmış uç nokta güvenlik sağlayıcıları da bunlara otomatik olarak güvenir.

Qbot sistemdeki ilk açılışından sonra zamanlanmış görevler oluşturur ve kalıcılık elde etmek için sistem kayıt defterine girişler ekler. Virüs daha sonra kullanıcılar tarafından yazılan tüm tuş vuruşlarını kaydetmeye başlar, tarayıcılara kaydedilen kimlik bilgilerini ve kimlik doğrulama çerezlerini çalar ve finansal işlemle ilgili metin dizelerini aramak ve çalmak için kötü niyetli kodu diğer işlemlere enjekte eder.

Varonis, saldırganlar tarafından kullanılan komut-kontrol sunucularından birine erişim sağladı ve 2.726 eşsiz mağdur IP adresi gösteren kayıtlar buldu. ABD’de 1.700’den fazla kişi bulunmakla birlikte, Kanada, İngiltere, Almanya, Fransa, Brezilya, Güney Afrika, Hindistan, Çin ve Rusya’da da mağdurlar bulundu.

Bir kurum içindeki bilgisayarlar genellikle internete paylaşılan bir IP adresiyle eriştiğinden, araştırmacılar bireysel olarak virüs bulaşmış sistem sayısının çok daha büyük olduğuna inanıyorlar. Ayrıca yapılan araştırmalar, tehlikeye giren sistemlerin çoğunun, çeşitli üreticilerin antivirüs programlarının kurulu olduğunu ve Qbot’un virüsten koruma tespitinden kaçınma yeteneğini bir kez daha vurguladığını gösterdi.