عودة برامج QakBot الخبيث

عودة برامج QakBot الخبيث باستراتيجة جديدة.

عودة برامج QakBot الخبيث باستراتيجة جديدة. بعد أكثر من ثلاثة أشهر من نجاح تطبيق القانون في تفكيك البنية التحتية لبرامج QakBot الخبيثة، ظهرت مؤخرًا موجة جديدة من رسائل التصيد التي تعمل على نشر هذا الفيروس.

كشفت شركة مايكروسوفت. التي اكتشفت هذه الحملة. أنها حملة صغيرة الحجم بدأت في ١١ ديسمبر ٢٠٢٣ واستهدفت قطاع الضيافة.

قالت شركة التكنولوجيا العملاقة في سلسلة من المنشورات على منصة X (تويتر سابقًا): “تلقى المستهدفون ملفًا بتنسيق PDF من مستخدم متنكرًا في هيئة موظف في مصلحة الضرائب الأمريكية.”

“احتوى ملف PDF على رابط URL يقوم بتنزيل مثبت رقميًا كتثبيت ويندوز (.msi). يؤدي تشغيل ملف MSI إلى استدعاء Qakbot باستخدام ‘hvsi’ لتنفيذ DLL مضمن.”

وأوضحت مايكروسوفت أن الحمولة تم إنشاؤها في نفس اليوم الذي بدأت فيه الحملة. وهي مصممة بإصدار غير مسبوق من QakBot برقم 0x500.

وصفت Zscaler ThreatLabz في منشور على X. نوع B QakBot الذي ظهر مجددًا بأنه برنامج ثنائي ٦٤ بت يستخدم خوارزمية AES لتشفير الشبكة ويرسل طلبات POST إلى المسار /teorema505.

تم تعطيل QakBot. والمعروف أيضًا باسم QBot و Pinkslipbot. كجزء من جهد منسق أطلق عليه اسم عملية “Duck Hunt” بعد أن تمكنت السلطات من الوصول إلى بنيتها التحتية وأمرت أجهزة الكمبيوتر المصابة بتنزيل ملف إلغاء التثبيت لجعل الفيروس غير فعال.

عن فيروس QakBot الخبيث:

كان QakBot. الذي يتم توزيعه تقليديًا عبر رسائل البريد الإلكتروني العشوائية التي تحتوي على مرفقات أو روابط ضارة. قادرًا على استخراج المعلومات الحساسة وتسليم برامج ضارة إضافية. بما في ذلك برامج انتزاع الفدية.

كشفت Cisco Talos في أكتوبر ٢٠٢٣ أن شركاء QakBot كانوا يستخدمون طرق التصيد لتقديم مجموعة من برامج انتزاع الفدية وطروجان الوصول عن بُعد وبرامج سرقة البيانات.

يعكس عودة QakBot ظهور برنامج Emotet. الذي أعاد الظهور أيضًا في أواخر عام ٢٠٢١ بعد أشهر من تفكيكه من قبل تطبيق القانون. وظل تهديدًا مستمرًا وإن كان على مستوى أقل.

بينما لا يزال من السابق لأوانه معرفة ما إذا كان الفيروس سيعود إلى سابق عهده. فإن مرونة شبكات بوت نت هذه تسلط الضوء على الحاجة إلى تجنب الوقوع ضحية لرسائل البريد الإلكتروني العشوائية المستخدمة في حملات Emotet و QakBot.

عودة برامج QakBot الخبيث باستراتيجة جديدة. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.