Широко распространенное вредоносное ПО, известное как Qbot (также известное как Qakbot или QuakBot), недавно вернулось к атакам со скоростью света, и, по словам аналитиков, для кражи конфиденциальных данных после первоначального заражения требуется всего около 30 минут.
Согласно новому отчету DFIR, Qbot наносил эти быстрые удары по сбору данных еще в октябре 2021 года, и теперь кажется, что стоящие за ним злоумышленники вернулись к аналогичной тактике.
В частности, аналитики сообщают, что злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Outlook, и 50 минут, прежде чем они перейдут на соседнюю рабочую станцию.
Как показано на следующей диаграмме, Qbot быстро выполняет повышение привилегий сразу после заражения, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут.
Первоначальный доступ обычно осуществляется через документ Excel, в котором используется макрос для сброса загрузчика DLL на целевой компьютер. Кроме того, вредоносная программа добавляет DLL Qbot в список исключений Microsoft Defender, поэтому она не будет обнаружена при внедрении в msra.exe.
Qbot крадет учетные данные Windows из памяти с помощью LSASS (Local Security Authority Server Service) и из веб-браузеров. Они используются для бокового перемещения к другим устройствам в сети, которое инициируется в среднем через пятьдесят минут после первого выполнения.
