Qbot steals your email threads again to infect other victims
Qbot 트로이목마가 또 다시 이메일 스레드를 훔치고 있는 것으로 나타났습니다. 이는 추후 실행될 악성 스팸 캠페인을 위한 악성 이메일을 기존 이메일 대화로 위장하기 위한 것으로 보입니다.
Qbot(QakBot)은 뱅킹 및 정보 스틸링 악성코드로 지난 10년간 활발히 활동하며 많은 피해자를 감염시켰습니다.
Qbot이 설치되면 피해자의 저장된 비밀번호, 쿠키, 신용카드, 이메일, 온라인 뱅킹 자격 증명을 훔치려 시도합니다.
또한 이 트로이목마는 해킹된 컴퓨터에 ProLock 랜섬웨어를 포함한 추가 악성코드를 다운로드 및 설치하는 것으로도 알려져 있습니다.
Qbot은 2020년 7월 악명 높은 Emotet 봇넷의 선택을 받아 새로운 피해자가 급증했습니다.
Qbot, 추후 악성 스팸 캠페인에 사용할 목적으로 피해자의 이메일 훔쳐
2019년, Bleeping Computer는 QBot이 이메일 피싱 캠페인에 사용하기 위해 피해자의 이메일 스레드를 훔치기 시작했다고 보도했습니다.
Check Point에서 발행한 새로운 보고서에 따르면 QBot은 이전에 Gozi ISFB 뱅킹 트로이목마, URSNIF 인포 스틸링 트로이목마, Emotet 트로이목마에서 사용했던 전략을 차용한 것으로 보입니다. 이 전략은 ‘이메일 스레드 탈취’로 답장이 오갔던 이메일 스레드를 모두 훔치는 것입니다.
‘회신 체인(reply-chain) 피싱 공격’은 공격자가 훔친 이메일 스레드를 사용하여 악성 문서를 첨부한 이메일을 보내는 것을 말합니다.
Qbot은 피해자를 감염시킨 후 사용자의 아웃룩 클라이언트의 이메일을 훔칩니다.
훔친 이메일은 다른 피해자를 노리는 스팸 캠페인에 사용할 목적으로 Qbot 공격자의 서버로 업로드됩니다.
<회신 체인 피싱 이메일>
<이미지 출처: https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/>
공격자는 원본 이메일 스레드를 이용한 피싱을 통해 공격의 신빙성을 높일 수 있습니다.
Check Point는 악성 VBS 스크립트가 포함된 ZIP 파일이 첨부된 회신 체인 피싱 공격을 발견했다고 밝혔습니다. 이 파일이 실행되면 VBS 스크립트는 시스템에 Qbot 악성코드를 다운로드 후 사용자를 감염시킵니다.
“악성 캠페인을 추적하던 중, 악성 ZIP 파일로 연결되는 고유 URL 수백 개가 드롭되는 것을 발견했습니다. 이 중 대부분은 해킹된 WordPress 사이트였습니다.”
연구원들은 이 이메일 스레드 탈취 모듈이 추가된 이후로 현재 진행 중인 악성 캠페인에 도난당한 이메일 스레드가 사용되는 것을 실제로 목격했다고 밝혔습니다. 이메일의 주제는 주로 세금 납부 알림, 코로나19 팬데믹, 구인 관련이었습니다.
<감염 체인>
<이미지 출처: https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/>
고도의 타깃형 캠페인에 사용돼
또한 Qbot의 제작자는 타깃 시스템에 배포 시 자신을 반쪽으로 나눠 암호화한 후 다시 조립하는 영리한 방법을 통해 탐지를 피했습니다.
이 악성코드는 네트워크 공유 익스플로잇을 통해 동일한 네트워크 상의 다른 기기들도 감염시키며, 활성 디렉토리 관리자 계정을 노리는 공격적인 브루트포싱 공격을 실행하는 것으로도 알려져 있습니다.
이 뱅킹 트로이목마는 10년 이상이나 활동해 왔으나 대부분 기업을 노리는 고도의 타깃형 공격에 사용되었습니다.
출처:
https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/
악성 npm 패키지, 민감 Discord 정보 및 브라우저 파일 훔치려 시도해 (0) | 2020.08.31 |
---|---|
Emotet 악성코드의 새로운 악성 첨부파일인 ‘Red Dawn’ 발견 (0) | 2020.08.31 |
새로운 정보 탈취 악성코드 아누비스, 실제 공격 통해 배포돼 (0) | 2020.08.28 |
DeathStalker 사이버 용병 그룹, 금융 부문 노려 (0) | 2020.08.27 |
고용형 해커, 3DS MAX 익스플로잇 악용해 건축 사무소 노려 (0) | 2020.08.27 |
댓글 영역