Raste broj napada Qbot malverom na korporativne imejlove putem zlonamernih PDF dokumenata

21. april 2023

Stručnjaci kompanije Kaspersky otkrili su početkom aprila porast broja napada Qbot malverom koji cilja na korporativne korisnike, a širi se kao spam putem elektronske pošte. Napadači koriste napredne tehnike socijalnog inženjeringa: presreću poslovnu prepisku i prosleđuju zlonamerne PDF priloge u istoj konverzaciji, što nije uobičajen način za ovaj malver. Od 4. aprila, u različitim zemljama primljeno je više od 5.000 ovakvih imejlova sa PDF prilozima, a kampanja i dalje traje.

Qbot je poznat kao ozloglašeni bankarski trojanac koji funkcioniše i kao deo botnet mreže, a može da ukrade podatke kao što su lozinke i poslovna prepiska. Napadačima takođe omogućava da kontrolišu zaraženi sistem i instaliraju ucenjivački malver (ransomware) i druge trojance na ostale uređaje unutar mreže. Operateri malvera koriste različite šeme distribucije, uključujući slanje imejlova sa zlonamernim PDF prilozima – što ranije nije bilo uobičajeno u ovoj kampanji.

Od početka aprila, Kaspersky je primetio nagli porast aktivnosti u kampanji koja koristi navedenu  šemu sa PDF prilozima. Talas je počeo 4. aprila uveče i od tada su stručnjaci otkrili više od 5.000 neželjenih imejlova sa PDF datotekama koji šire ovaj malver na engleskom, nemačkom, italijanskom i francuskom jeziku.

Ovaj bankarski trojanac se distribuira kroz postojeću poslovnu prepisku potencijalne žrtve, u  koju se infiltriraju sajber kriminalci. Oni prosleđuju imejl svim učesnicima u prepisci i obično traže od njih da otvore zlonamerni PDF prilog, navodeći različite uverljive razloge. Na primer, napadači mogu tražiti dokumentaciju koja se odnosi na sadržaj priloga ili kalkulaciju troškova ugovora prema proceni troškova u prilogu.

 “Preporučujemo kompanijama da budu na oprezu jer je Qbot veoma štetan malver, iako se njegova osnovna funkcionalnost nije promenila u poslednje dve godine. Napadači stalno unapređuju svoje tehnike, dodajući nove ubedljive elemente socijalnog inženjeringa. Tako povećavaju verovatnoću da zaposleni postanu žrtve prevare. Da biste ostali bezbedni, obratite pažnju na različite crvene zastavice, kao što su ispravnost imejl adrese pošiljaoca, čudni prilozi, gramatičke greške i slično. Pored toga, specijalizovana rešenja za sajber bezbednost mogu pomoći da se poveća bezbednost korporativnih imejlova“, rekla je Darja Ivanova, analitičar malvera u kompaniji Kaspersky.

Sadržaj PDF datoteke je slika koja imitira obaveštenje iz Microsoft Office-a 365 ili Microsoft Azure-a. Ako korisnik klikne na „Otvori“, zlonamerna arhiva se preuzima na njegov računar sa udaljenog servera (kompromitovani sajt).

Stručnjaci kompanije Kaspersky sproveli su detaljnu tehničku analizu ove šeme, koja je dostupna na blogu Securelist.

Da biste zaštitili svoju organizaciju od povezanih pretnji, stručnjaci kompanije Kaspersky preporučuju sledeće:

• Proverite adresu pošiljaoca. Većina neželjene pošte dolazi sa adresa koje deluju besmisleno. Punu adresu videćete kada pređete kursorom preko imena pošiljaoca, koje samo po sebi može biti čudno napisano. Ako niste sigurni da li je imejl adresa  legitimna, proverite u pretraživaču.
• Budite posebno oprezni prema poruci koja stvara osećaj hitnosti. Spameri često pokušavaju da izvrše pritisak i izazovu brzu reakciju tako što, na primer, u predmetu poruke stave reči poput „hitno“ ili „potrebno je hitno delovanje“.
• Obezbedite osnovnu obuku za zaposlene o sajber bezbednosti; takođe možete simulirati fišing napad kako bi bili sigurni da znaju da razlikuju fišing imejlove od legitimnih.
• Radi zaštite krajnjih tačaka i servera e-pošte koristite bezbednosno rešenje sa funkcijama protiv fišinga, kao što je Kaspersky Endpoint Security for Business, da biste smanjili mogućnost infekcije putem fišinga.
• Instalirajte pouzdano bezbednosno rešenje kao što je Kaspersky Secure Mail Gateway, koji automatski filtrira neželjene poruke.