SUPER_CHELOVEK
⭐ ПРОВЕРЕННЫЙ СЕРВИС ФЛУДА/СПАМА С 2020 ГОДА!⭐
Модератор
Проверенный продавец
Бар «Собрание»
SUPER_CHELOVEK
⭐ ПРОВЕРЕННЫЙ СЕРВИС ФЛУДА/СПАМА С 2020 ГОДА!⭐
Модератор
Проверенный продавец
Бар «Собрание»
- Статус
- Offline
- Регистрация
- 12 Фев 2020
- Сообщения
- 355
- Реакции
- 40
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Троян QBot, который впервые появился в 2007 году и за это время заработал репутацию одного из самых стойких банковских вредоносных программ, продолжает развиваться и адаптироваться к современным методам защиты.
Недавний анализ компании ZScaler показал, что QBot не только активно использует DNS-туннелирование для скрытого обмена данными, но и приобрёл новые, более опасные способности.
После того как правоохранительные органы провели масштабную операцию по пресечению деятельности оператора QBot в августе 2024 года, специалисты вновь обнаружили его активность в сети. Вредоносные файлы, включая архив «pack.dat», содержат несколько подозрительных компонентов — exe- и dll-файлы, которые работают совместно для расшифровки скрытого PE-файла. Этот файл затем запускает дальнейшую вредоносную активность, что указывает на высокий уровень сложности операции.
Что интересно, QBot эволюционировал в нечто большее, чем просто банковский троян. Теперь он действует как модульная платформа, позволяющая запускать другие вредоносные программы. Один из новых модулей, BackConnect, следит за процессами на заражённой системе и передаёт информацию через зашифрованные каналы. При этом используются низкоуровневые методы работы с реестром Windows и обход стандартных защитных механизмов.
Новые тактики, такие как Sideloading, позволяют QBot обходить современные системы защиты и распространяться через связанный с ним вымогатель BlackBasta. Это делает атаку ещё более опасной, так как вредонос может распространяться через различные методы и встраиваться в привычные процессы.
Для борьбы с угрозой исследователи опубликовали YARA-правила для обнаружения новых версий QBot. Но предупреждают, что эффективность таких мер зависит от того, как быстро они будут внедрены в системы защиты.
Источник
Недавний анализ компании ZScaler показал, что QBot не только активно использует DNS-туннелирование для скрытого обмена данными, но и приобрёл новые, более опасные способности.
После того как правоохранительные органы провели масштабную операцию по пресечению деятельности оператора QBot в августе 2024 года, специалисты вновь обнаружили его активность в сети. Вредоносные файлы, включая архив «pack.dat», содержат несколько подозрительных компонентов — exe- и dll-файлы, которые работают совместно для расшифровки скрытого PE-файла. Этот файл затем запускает дальнейшую вредоносную активность, что указывает на высокий уровень сложности операции.
Что интересно, QBot эволюционировал в нечто большее, чем просто банковский троян. Теперь он действует как модульная платформа, позволяющая запускать другие вредоносные программы. Один из новых модулей, BackConnect, следит за процессами на заражённой системе и передаёт информацию через зашифрованные каналы. При этом используются низкоуровневые методы работы с реестром Windows и обход стандартных защитных механизмов.
Новые тактики, такие как Sideloading, позволяют QBot обходить современные системы защиты и распространяться через связанный с ним вымогатель BlackBasta. Это делает атаку ещё более опасной, так как вредонос может распространяться через различные методы и встраиваться в привычные процессы.
Для борьбы с угрозой исследователи опубликовали YARA-правила для обнаружения новых версий QBot. Но предупреждают, что эффективность таких мер зависит от того, как быстро они будут внедрены в системы защиты.
Источник
