Qbot-haittaohjelma, joka tunnetaan myös nimellä Qakbot, Quakbot tai Pinkslipbot, on mukautuva pankkitroijalainen, joka uhkaa vakavasti turvallisuuttasi.

Haittaohjelmat ovat nyt niin yleisiä, että syntyy kaikenlaisia ​​kokonaisia ​​"perheitä". Tämä koskee Qbotia, haittaohjelmaperhettä, jota käytetään tietojen varastamiseen. Mutta mistä Qbot tuli, kuinka vaarallinen se on, ja voitko välttää?

Qbotin alkuperä

Kuten haittaohjelmien kanssa usein tapahtuu, Qbot (tunnetaan myös nimellä Qakbot, Quakbot tai Pinkslipbot) löydettiin vasta luonnosta löydettyään. Kyberturvallisuuden termeillä "villiin" viittaa skenaarioon, jossa jonkinlainen haittaohjelma leviää kohdelaitteiden välillä ilman käyttäjien lupaa. Qbotin uskotaan olleen toiminnassa ainakin vuodesta 2007 lähtien, joten se on huomattavasti vanhempi haittaohjelmamuoto kuin monet nykyään suositut kannat.

Monet 2000-luvun haittaohjelmamuodot eivät ole enää käytössä, koska ne eivät ole tarpeeksi tehokkaita torjumaan nykyaikaista tekniikkaa. Mutta Qbot erottuu tästä. Kirjoitushetkellä Qbot on ollut toiminnassa ainakin 16 vuotta, mikä on vaikuttava haittaohjelmaohjelman käyttöikä.

instagram viewer

Vuodesta 2007 lähtien Qbotia on havaittu toistuvasti käytössä luonnossa, vaikka se on myös keskeytetty pysähtyneisyyden vuoksi. Joka tapauksessa se on edelleen suosittu vaihtoehto kyberrikollisten keskuudessa.

Qbot on kehittynyt vuosien varrella, ja monet hakkerit ovat käyttäneet sitä useista syistä. Qbot aloitti troijalaisena, ohjelmana, joka pysyy piilossa näennäisesti vaarattomissa sovelluksissa. Troijalaisia ​​voidaan käyttää moniin haitallisiin tarkoituksiin, mukaan lukien tietojen varastaminen ja etäkäyttö. Tarkemmin sanottuna Qbot hakee pankkitunnuksia. Tästä syystä sitä pidetään pankkitroijalaisena.

Mutta onko näin edelleen? Miten Qbot toimii nykyään?

Miten Qbot toimii?

Nykyään nähty Qbot on monissa eri muodoissa, mutta se on merkittävin infovarasto troijalainen. Kuten nimestä voi päätellä, infostealer-troijalaiset on suunniteltu varastamaan arvokkaita tietoja, kuten maksutietoja, kirjautumistietoja ja yhteystietoja. Pääasiassa tätä pääasiallista Qbot-haittaohjelmia käytetään salasanojen varastamiseen.

Qbot-muunnelmien on myös havaittu suorittavan näppäinkirjausta, prosessien kytkentää ja jopa hyökkäävän järjestelmiin takaovien kautta.

Qbotin luomisesta 2000-luvulla lähtien sitä on muutettu muotoon on takaoven ominaisuudet, mikä tekee siitä paljon enemmän uhkaa. Takaovi on pohjimmiltaan epävirallinen tapa tunkeutua järjestelmään tai verkkoon. Hakkerit käyttävät usein takaovia hyökkäyksiensä suorittamiseen, koska se antaa heille helpomman pääsyn sisään. "Takaovi. Qbot" on nimi, joka on annettu tälle Qbot-versiolle.

Aluksi Qbot levisi Emotet-haittaohjelman, toisen troijalaisen muodon, kautta. Nykyään Qbot leviää tyypillisesti haitallisten sähköpostikampanjoiden kautta liitteiden kautta. Tällaisissa kampanjoissa lähetetään suuria määriä roskapostia sadoille tai jopa tuhansille vastaanottajille siinä toivossa, että jotkut kohdennetuista käyttäjistä ovat vuorovaikutuksessa.

Haitallisissa sähköpostiliitteissä Qbot on yleisesti havaittu .zip-tiedostona, joka sisältää makrokuormaisen XLS-pisaran. Jos vastaanottaja avaa haitallisen liitteen, haittaohjelma voidaan asentaa hänen laitteelleen, usein hänen tietämättään.

Qbot voidaan levittää myös exploit-sarjojen kautta. Nämä ovat työkaluja, jotka auttavat kyberrikollisia haittaohjelmien käyttöönotossa. Hyökkäyssarjat voivat korostaa laitteiden tietoturva-aukkoja ja sitten käyttää kyseisiä haavoittuvuuksia luvattoman käytön saamiseksi.

Asiat eivät kuitenkaan lopu salasanan varastamiseen ja takaoviin. Qbot-operaattoreilla on myös ollut suuri rooli Initial Access Brokereina. Nämä ovat kyberrikollisia, jotka myyvät järjestelmän käyttöoikeuksia muille haitallisille toimijoille. Qbot-näyttelijöiden tapauksessa pääsy on myönnetty joillekin suurille ryhmille, mukaan lukien REvil ransomware-as-a-service organisaatio. Itse asiassa useiden kiristysohjelmien tytäryhtiöiden on havaittu käyttävän Qbotia järjestelmän alkupääsynä, mikä antaa tälle haittaohjelmalle uudenlaisen tarkoituksen.

Qbot on esiintynyt monissa haitallisissa kampanjoissa, ja sitä käytetään kohdistamiseen useille toimialoille. Terveydenhuollon organisaatiot, pankkisivustot, valtion elimet ja valmistusyritykset ovat kaikki olleet Qbotin kohteena. TrendMicro raportoi vuonna 2020, että 28,1 prosenttia Qbotin tavoitteista kuuluu terveydenhuollon piiriin.

Kahdeksan muuta toimialaa, lukuisten sekalaisten muiden lisäksi, kuuluvat myös Qbotin tavoitealueeseen, mukaan lukien:

  • Valmistus.
  • hallitukset.
  • Vakuutus.
  • koulutus.
  • Tekniikka.
  • Öljy ja kaasu.
  • Kuljetus.
  • Jälleenmyynti.

TrendMicro totesi myös samassa raportissa, että Thaimaassa, Kiinassa ja Yhdysvalloissa havaittiin eniten Qbot-havaintoja vuonna 2020. Muita yleisiä havaitsemispaikkoja olivat Australia, Saksa ja Japani, joten Qbot on ilmeisesti maailmanlaajuinen uhka.

Qbot on ollut olemassa niin monta vuotta, koska sen hyökkäys- ja kiertotaktiikat ovat jatkuvasti kehittyneet vastaamaan nykyaikaisia ​​kyberturvallisuustoimenpiteitä. Qbotin monimuotoisuus tekee siitä myös valtavan vaaran ihmisille ympäri maailmaa, koska he voivat olla kohteena niin monella tavalla tämän ohjelman avulla.

Kuinka välttää Qbot-haittaohjelmat

Haittaohjelmia on käytännössä mahdotonta välttää 100 prosenttia ajasta. Edes paras virustentorjuntaohjelma ei voi suojella sinua hyökkäyksiltä loputtomiin. Mutta virustorjuntaohjelmiston asentaminen laitteellesi on ratkaisevassa asemassa suojattaessa sinua haittaohjelmilta. Tätä tulisi pitää ensimmäisenä askeleena kyberturvallisuuden suhteen. Mitä seuraavaksi?

Koska Qbot leviää yleensä roskapostikampanjoiden kautta, on tärkeää, että olet tietoinen haitallisen postin osoituksista.

On olemassa lukuisia punaisia ​​lippuja, jotka voivat paljastaa sähköpostin haitalliseksi, alkaen sisällöstä. Jos uusi osoite on lähettänyt sinulle linkin tai liitteen sisältävän sähköpostin, on viisasta pysyä poissa, kunnes tiedät varmasti, että siihen voi luottaa. Niitä on erilaisia linkkien tarkistussivustot voit käyttää URL-osoitteen aitouden tarkistamiseen, jotta tiedät, onko sen napsauttaminen turvallista.

Liitteet voivat olla yhtä vaarallisia kuin linkit haittaohjelmatartunnan suhteen, joten sinun on oltava varovainen niiden suhteen, kun vastaanotat sähköposteja.

Haittaohjelmien levittämiseen käytetään yleensä tiettyjä liitetiedostotunnisteita, kuten .pdf, .exe, .doc, .xls ja .scr. Vaikka nämä eivät ole ainoita haittaohjelmien tartuttamiseen käytettyjä tiedostopäätteitä, ne ovat yleisimpiä tyyppejä, joten pidä niitä silmällä, kun saat sähköpostiisi liitetiedostoja.

Jos saat joskus uudelta lähettäjältä sähköpostin, joka sisältää kiireellisyyden tunteen, sinun tulee myös olla varuillaan. Kyberrikollisilla on tapana käyttää vakuuttavaa kieltä viestinnässään pakottaakseen uhrit noudattamaan sääntöjä.

Saatat esimerkiksi saada sähköpostin, jossa kerrotaan, että yksi sosiaalisen median tileistäsi on lukittu toistuvien kirjautumisyritysten vuoksi. Sähköpostiin saattaa tulla linkki, jota sinun on napsautettava kirjautuaksesi tiliisi ja avataksesi sen lukituksen, mutta sisään Todellisuudessa tämä on haitallinen sivusto, joka on suunniteltu varastamaan syöttämäsi tiedot (tässä tapauksessa kirjautumistunnuksesi valtuustiedot). Joten jos saat erityisen vakuuttavan sähköpostin, harkitse, onko sinua manipuloitu noudattamaan sääntöjä, koska tämä on hyvin todellinen mahdollisuus.

Qbot on haittaohjelmien päämuoto

Haittaohjelman monipuolisuuden lisääminen tekee siitä lähes aina enemmän uhkaa, ja ajan myötä Qbotin monipuolistuminen on varmistanut sen vaarallisena voimana. Tämän tyyppinen haittaohjelma saattaa kehittyä ajan myötä, eikä oikeastaan ​​tiedetä, mitä ominaisuuksia se mukautuu seuraavaksi.