Også kjent som Qakbot, Quakbot eller Pinkslipbot, Qbot malware er en adaptiv banktrojaner som truer sikkerheten din alvorlig.
Skadelig programvare er nå så vanlig at hele "familier" av hver type blir opprettet. Dette er tilfellet for Qbot, en malware-familie som brukes til å stjele data. Men hvor kom Qbot fra, hvor farlig er det, og kan du styre unna?
Opprinnelsen til Qbot
Som ofte er tilfellet med skadelig programvare, ble Qbot (også kjent som Qakbot, Quakbot eller Pinkslipbot) bare oppdaget når den ble funnet i naturen. I cybersikkerhetstermer refererer "i naturen" til et scenario der en form for skadelig programvare sprer seg blant målrettede enheter uten brukernes tillatelse. Det antas at Qbot har vært i drift siden minst 2007, noe som gjør det til en betydelig eldre form for skadelig programvare enn mange populære stammer der ute i dag.
Mange former for skadelig programvare fra 2000-tallet er ikke lenger i bruk, rett og slett fordi de ikke er effektive nok til å takle moderne teknologi. Men Qbot skiller seg ut her. I skrivende stund har Qbot vært i drift i minst 16 år, en imponerende levetid for et skadelig program.
Siden 2007 har Qbot gjentatte ganger blitt observert i bruk i naturen, selv om dette også ble avbrutt av perioder med stagnasjon. I alle fall er det fortsatt et populært alternativ blant nettkriminelle.
Qbot har utviklet seg gjennom årene, og har blitt brukt av en rekke hackere av flere årsaker. Qbot begynte som en trojaner, et program som forblir skjult i tilsynelatende harmløse apper. Trojanere kan brukes til mange ondsinnede formål, inkludert datatyveri og ekstern tilgang. Qbot, mer spesifikt, går etter banklegitimasjon. Av denne grunn regnes det som en banktrojaner.
Men er dette fortsatt tilfelle? Hvordan fungerer Qbot i dag?
Hvordan fungerer Qbot?
Qbot sett i dag kommer i mange forskjellige former, men er mest bemerkelsesverdig en infostealer-trojaner. Som navnet antyder, er infostealer-trojanere designet for å stjele verdifull data, for eksempel betalingsinformasjon, påloggingsinformasjon og kontaktinformasjon. Hovedsakelig brukes denne hovedtypen Qbot malware til å stjele passord.
Qbot-varianter har også blitt observert som utfører keylogging, prosesshooking og til og med angriper systemer via bakdører.
Siden etableringen på 2000-tallet har Qbot blitt modifisert til har bakdørsfunksjoner, noe som gjør det mye mer til en trussel. En bakdør er egentlig en uoffisiell måte å infiltrere et system eller nettverk på. Hackere bruker ofte bakdører for å utføre sine angrep, da det gir dem en enklere vei inn. "Bakdør. Qbot" er navnet gitt til denne varianten av Qbot.
Opprinnelig ble Qbot spredt via Emotet malware, en annen form for trojaner. I dag spres Qbot vanligvis gjennom ondsinnede e-postkampanjer via vedlegg. Slike kampanjer innebærer å sende store mengder søppelpost til hundrevis, eller til og med tusenvis av mottakere, i håp om at noen av de målrettede brukerne vil samhandle.
Innenfor ondsinnede e-postvedlegg har Qbot ofte blitt observert som en .zip-fil som inneholder en makroladet XLS-dropper. Hvis en mottaker åpner et ondsinnet vedlegg, kan skadelig programvare distribueres på enheten deres, ofte uten at de vet om det.
Qbot kan også spres via utnyttelsessett. Dette er verktøy som hjelper nettkriminelle med utrulling av skadelig programvare. Utnyttelsessett kan fremheve sikkerhetssårbarheter i enheter, og deretter misbruke nevnte sårbarheter for å få uautorisert tilgang.
Men ting stopper ikke med passordstjeling og bakdører. Qbot-operatører har også spilt en stor rolle som Initial Access Brokers. Dette er nettkriminelle som selger systemtilgang til andre ondsinnede aktører. Når det gjelder Qbot-skuespillere, er det gitt tilgang til noen enorme grupper, inkludert REvil løsepenge-som-en-tjeneste organisasjon. Faktisk har forskjellige ransomware-tilknyttede selskaper blitt observert ved å bruke Qbot som for første systemtilgang, noe som gir denne skadevaren enda et bekymringsfullt formål.
Qbot har dukket opp i mange ondsinnede kampanjer, og brukes til å målrette en rekke bransjer. Helseorganisasjoner, banknettsteder, offentlige organer og produksjonsbedrifter har alle vært målrettet av Qbot. TrendMicro rapporterte i 2020 at 28,1 prosent av Qbots mål ligger innenfor helsevesenet.
Ytterligere åtte bransjer, sammen med en rekke diverse andre, faller også inn under Qbots målområde, inkludert:
- Produksjon.
- Regjeringer.
- Forsikring.
- Utdanning.
- Teknologi.
- Olje og gass.
- Transport.
- Detaljhandel.
TrendMicro uttalte også i den samme rapporten at Thailand, Kina og USA hadde det høyeste antallet Qbot-deteksjon i 2020. Andre vanlige deteksjonssteder inkluderte Australia, Tyskland og Japan, så Qbot er tydeligvis en global trussel.
Qbot har eksistert i så mange år fordi angreps- og unnvikelsestaktikkene har kontinuerlig utviklet seg for å holde tritt med moderne cybersikkerhetstiltak. Qbots mangfold gjør det også til en stor fare for mennesker over hele verden, ettersom de kan målrettes på så mange måter ved å bruke dette programmet.
Slik unngår du Qbot-malware
Det er praktisk talt umulig å unngå skadelig programvare 100 prosent av tiden. Selv det beste antivirusprogrammet kan ikke beskytte deg mot angrep på ubestemt tid. Men å ha antivirusprogramvare installert på enheten din vil spille en avgjørende rolle for å holde deg trygg mot skadelig programvare. Dette bør betraktes som det første trinnet når det gjelder cybersikkerhet. Så, hva er neste?
Fordi Qbot ofte spres gjennom spam-kampanjer, er det viktig at du er klar over indikatorene på ondsinnet e-post.
Det er mange røde flagg som kan avsløre en e-post som skadelig, og starter med innholdet. Hvis en ny adresse har sendt deg en e-post som inneholder en lenke eller vedlegg, er det lurt å styre unna til du er sikker på at den er til å stole på. Det finnes ulike nettsteder som sjekker lenker du kan bruke til å bekrefte legitimiteten til en URL slik at du vet om det er trygt å klikke.
Vedlegg kan være like farlige som lenker når det kommer til skadelig programvare, så du må være forsiktig med dem når du mottar e-post.
Det er visse filtyper for vedlegg som pleier å bli brukt til å spre skadelig programvare, inkludert .pdf, .exe, .doc, .xls og .scr. Selv om disse ikke er de eneste filtypene som brukes for infeksjon med skadelig programvare, er de blant de vanligste typene, så hold øye med dem når du mottar vedlagte filer i e-postene dine.
Hvis du noen gang får tilsendt en e-post fra en ny avsender som inneholder en følelse av at det haster, bør du også være på vakt. Nettkriminelle har en tendens til å bruke overbevisende språk i sin kommunikasjon for å presse ofrene til å følge dem.
Du kan for eksempel motta en e-post om at en av dine sosiale medier-kontoer har blitt låst på grunn av gjentatte påloggingsforsøk. E-posten kan motta en lenke du må klikke på for å logge på kontoen din og låse den opp, men inn i virkeligheten er dette et ondsinnet nettsted designet for å stjele dataene du legger inn (i dette tilfellet påloggingen din legitimasjon). Så hvis du mottar spesielt overbevisende e-poster, bør du vurdere om du blir manipulert til å overholde regler, da dette er en veldig reell mulighet.
Qbot er en hovedform for skadelig programvare
Å øke allsidigheten til et skadevareprogram gjør det nesten alltid til en trussel, og etter hvert som tiden har gått, har Qbots diversifisering sikret det som en farlig kraft. Denne formen for skadelig programvare kan fortsette å utvikle seg over tid, og man vet egentlig ikke hvilke funksjoner den vil tilpasse seg videre.