Qbot, un malware vechi, pericol actual pentru clientii de Internet Banking

Intr-un comunicat recent al SRI (Serviciul Roman de Informatii) se arata ca in aceasta perioada este in desfasurare un atac cibernetic ce vizeaza clientii platformelor de Internet Banking.
Pe intelesul tuturor, clientii bancilor din Romania, care acceseaza serviciul de Internet Banking de pe PC prin Chrome, Microsoft Edge sau Firefox, au sanse foarte mari sa faca cunoscute credentialele de acces (datele personale de acces pe patforma financiar-bancara) celor care au lansat atacul. In acest fel, persoane rau intentionate vor avea acces la conturile bancare, date de autentificare la serviciile e-mail si date financiare. Retineti ca nu sunt afectate si aplicatiile de Internet Banking.

SRI aduce cateva recomandari pentru toti clientii bancilor care utilizeaza serviciile de Internet Banking:

“- utilizarea de soluții anti-virus și actualizarea constantă a semnăturilor acestora;
evitarea deschiderii atașamentelor sub formă de arhivă dacă proveniența acestora este incertă și dacă nu au fost verificate în prealabil cu soluții de detecție anti-virus;
evitarea deschiderii atașamentelor sau link-urilor din cadrul mesajelor e-mail suspecte;
actualizarea sistemului de operare și evitarea utilizării sistemelor de operare care nu mai primesc suport din partea producătorului;
notificarea băncii atunci când observați tranzacții bancare care nu vă aparțin;
dezactivarea executării automate a unor rutine din MS Office (macro-uri);
evitarea executării manuale a macro-urilor.”
*comunicatul integral este disponibil pe sri.ro.

Gruparea care a lansat acest atac cibernetic foloseste una dintre cele mai de succes aplicatii malware din ultimul deceniu. Qbot.
Qbot face parte dintr-o familie de malware (virusi) care de-a lungul anilor a suferit multe modificari la nivel de cod sursa, fiind perfectionat de gruparile de crimilitate cibernetica si facut “invizibil” pentru majoritatea software-urilor antivirus.
La inceputurile Qbot, acesta a fost utilizat ca un simplu virus de tip troian, capabil sa intre ascuns sub diverse forme de fisiere intr-un sistem Windows, ca mai apoi sa poata extrage date confidentiale, incluzand aici si useri, parole de autentificare pe platformele de Internet Banking.
In ultimii ani, malware-ul Qbot a capatat pe langa potentialul de virus de tip troian, si pe cel de worm (virme), capabil sa se propage singur intr-o retea dupa ce initial a reusit sa patrunda intr-un calculator din aceasta. Mai mult decat atat, actuala amenintare pune in dificultate companiile producatoare de software antivirus. Qbot poate fi controlat de la distanta de pe un server de comanda si control (CC), unde primeste regulat actualizari capabile sa-l ascunda si sa treaca cu usurinta de controlul software-ului antivirus. Inclusiv semnaturi digitale, care sunt detectate fiind “safe” de catre antivirus. Mai pe inteles, un software daca are semnatura digitala, nu inseamna ca neaparat este si sigur, asa cum si un website cu HTTPS (SSL) poate avea in sursa sau pentru download o aplicatie malware. Partea mai rea, este ca semnaturile digitale ale aplicatiilor si securizarea HTTPS a website-urilor determina browser-ul, sistemul de operare sau antivirusul sa nu trimita alerte utilizatorilor. Unarticol pe tema “HTTP / HTTPS” gasiti aici.

La inceputurile Qbot, acesta era livrat prin cod PowerShell. Lansarea lui depindea de cod din Visual Basic (VBS) pe care victima urma sa-l execute. La acea vreme erau tintite companiile care utilizau frecvent serviciile de e-mail. Devenind o metoda comuna de infiltrare a aplicatiilor malware, codurile PowerShell au fost atent monitorizate de software-urile antivirus, iar Qbot a fost modificat, facand posibila livrarea prin alte metode mai greu de intuit si de detectat.
In prezent, malware Qbot poate fi executat automat sau manual de catre victima, prin intermediul unui fisier MS Word cu macro (set de instructiuni / rutine). Acest fisier vine pe e-mail, sub forma unui mesaj “oficial” si “de increde”, care de cele mai mult eori nu este suspect pentru software-ul antivirus. Daca nu deschideti aceste fisiere, veti fi in siguranta. Urmand sfaturile SRI, va puteti mentine datele confidentiale / sensibile in siguranta.

Nu uitati ca cele mai bune software-uri antivirus sunt: prudenta, atentia si constientizarea.

Pasionat de tehnologie, scriu cu plăcere pe StealthSettings.com începând cu anul 2006. Am o bogată experiență în sistemele de operare: macOS, Windows și Linux, dar și în limbaje de programare și platforme de blogging (WordPress) și pentru magazine online (WooCommerce, Magento, PrestaShop).

Leave a Comment