QakBot-Erkennung: Neue Trojaner-Variante lernt neue Tricks
Inhaltsverzeichnis:
Sicherheitsexperten haben eine neue Variante eines Informationstealers und Banktrojaners enthüllt, die unter dem Spitznamen bekannt ist QBot (auch bekannt als QakBot, QuackBot oder Pinkslipbot). Der Trojaner wurde erstmals Ende der 2000er Jahre entdeckt und hauptsächlich in finanziell motivierten Angriffen verwendet, die darauf abzielen, die Passwörter der Opfer zu stehlen. Seine Betreiber tauchen regelmäßig mit neuen Tricks auf, indem sie neue Verbreitungsvektoren und Umgehungstechniken anpassen. Diesmal bringen Gegner die Opfer dazu, einen bewaffneten HTML-Anhang zu öffnen, der Qakbot installiert, verbreitet in einer Phishing-Kampagne.
Erkennen Sie QakBot
Verwenden Sie eine neu veröffentlichte Erkennungsregel von Nattatorn Chuensangarun , um die neuesten QBot-Angriffe auf das Netzwerk Ihrer Organisation aufzudecken:
The Sigma-Regel kann auf über 19 SIEM-, EDR- und XDR-Plattformen verwendet werden, die im Einklang mit dem MITRE ATT&CK®-Rahmenwerk v.10 stehen, das die Taktiken Ausweichen der Verteidigung und Ausführung mit Signierter Binärproxi-Ausführung (T1218) und Benutzerausführung (T1204) als primäre Techniken anspricht.
Registrierte SOC Prime-Nutzer können auf innovative branchenspezifische Lösungen und über 200.000 Erkennungsalgorithmen zugreifen, die sich in über 26 SIEM-, EDR- und XDR-Technologien integrieren lassen. Um die vollständige Liste der Sigma-Regeln zum Erkennen von QBot-Angriffen abzurufen, klicken Sie auf die Erkennen & Jagen Schaltfläche unten.
Um eine bessere Sicht auf Bedrohungen zu erhalten, die durch Ihr Netzwerk dringen, navigieren Sie durch eine sich ständig verändernde Landschaft von Bedrohungen mit einer neuartigen Lösung von SOC Prime – die Cyber Threat Suchmaschine. Die Suchmaschine ist kostenlos und unverbindlich verfügbar. Probieren Sie es aus, indem Sie auf die Explorieren Sie Bedrohungskontext Schaltfläche drücken.
Erkennen & Jagen Explorieren Sie Bedrohungskontext
QakBot Beschreibung
In den jüngsten Operationen haben die hinter der Verbreitung von QakBot stehenden Gegner neue Ansätze übernommen, um ihre Fähigkeit zur Umgehung der Entdeckung auf das nächste Level zu heben, indem sie ZIP-Dateierweiterungen verwenden, die gebräuchliche Formate imitieren, um die Ziele dazu zu verleiten, schädliche Anhänge herunterzuladen, die Qakbot installieren. Wenn der Empfänger die HTML-Datei öffnet, beinhaltet der Vorgang die Ausführung des JavaScript-Codes. Anschließend folgt die Dekodierung eines base64-Strings, der von einer lokalen Variable gehalten wird und eine eingebaute Funktion aufruft, um das dekodierte ZIP-Archiv zu speichern. Die ZIP-Datei enthält eine Windows-Verknüpfungsdatei, die optisch eine Textdatei nachahmt. Ein Doppelklick führt zum Start eines QakBot-Laderprogramms. Laut den Forschungsdaten ist die neueste Version des QakBot-Trojaners mit neuen Anti-Analyse- und Verschleierungstechniken ausgestattet.
In dieser Kampagne nutzen kriminelle Hacker Nutzlast-Erweiterungen wie OCX, ooccxx, .dat, .gyp, um eine Entdeckung durch automatisierte Sicherheitsüberprüfungen zu umgehen.
Jeden Tag tauchen neue Angriffe in freier Wildbahn auf, und SOC-Profis benötigen präzise, auf Exponierungen basierende Lösungen, die den Lärm durchdringen und die echten Sicherheitsbedrohungen identifizieren. Die umfangreiche Bibliothek von SOC Prime mit Erkennungsinhalten ermöglicht es Infosec-Profis, den Wert ihrer Sicherheitsinvestitionen zu steigern. Durch den Beitritt zur Detection as Code Plattform, können Sicherheitsexperten in Aktion sehen, wie sie von beschleunigten Cyberverteidigungsfähigkeiten profitieren können.
