بدافزار Qbot که با نامهای Qakbot، Quakbot یا Pinkslipbot نیز شناخته میشود، یک تروجان بانکی تطبیقی است که به طور جدی امنیت شما را تهدید میکند.
بدافزار در حال حاضر آنقدر رایج شده است که کل “خانواده ها” از هر نوع در حال ایجاد هستند. این مورد برای Qbot، یک خانواده بدافزار است که برای سرقت داده ها استفاده می شود. اما Qbot از کجا آمده است، چقدر خطرناک است، و آیا میتوانید از آن جلوگیری کنید؟
ریشه های Qbot
همانطور که اغلب در مورد بدافزار اتفاق می افتد، Qbot (همچنین به عنوان Qakbot، Quakbot یا Pinkslipbot شناخته می شود) تنها زمانی کشف شد که در طبیعت یافت شد. در اصطلاح امنیت سایبری، «در طبیعت» به سناریویی اطلاق میشود که در آن نوعی بدافزار بدون اجازه کاربران در میان دستگاههای هدف پخش میشود. تصور میشود که Qbot حداقل از سال 2007 در حال کار بوده است، و آن را به شکل قابل توجهی قدیمیتر از بدافزارها نسبت به بسیاری از گونههای محبوب امروزی تبدیل کرده است.
بسیاری از اشکال بدافزار از دهه 2000 دیگر مورد استفاده قرار نمی گیرند، فقط به این دلیل که به اندازه کافی برای مقابله با فناوری مدرن مؤثر نیستند. اما Qbot در اینجا برجسته است. در زمان نگارش این مقاله، Qbot حداقل 16 سال است که در حال کار بوده است که طول عمر قابل توجهی برای یک برنامه بدافزار است.
از سال 2007، Qbot به طور مکرر در حال استفاده در طبیعت مشاهده شده است، اگرچه این کار نیز با دوره های رکود قطع شده است. در هر صورت، هنوز هم یک گزینه محبوب در بین مجرمان سایبری است.
Qbot در طول سال ها تکامل یافته است و به دلایل متعدد توسط هکرهای متعددی مورد استفاده قرار گرفته است. Qbot به عنوان یک تروجان شروع شد، برنامه ای که در برنامه های به ظاهر بی ضرر پنهان می ماند. تروجان ها را می توان برای بسیاری از اهداف مخرب، از جمله سرقت اطلاعات و دسترسی از راه دور استفاده کرد. Qbot، به طور خاص، به دنبال اعتبار بانکی است. به همین دلیل یک تروجان بانکی محسوب می شود.
اما آیا هنوز هم همینطور است؟ Qbot امروز چگونه کار می کند؟
Qbot چگونه کار می کند؟
Qbot که امروزه دیده میشود به اشکال مختلف عرضه میشود، اما مهمترین آن یک تروجان سرقت اطلاعات است. همانطور که از نام آن پیداست، تروجان های infostealer برای سرقت داده های ارزشمند مانند اطلاعات پرداخت، اعتبار ورود و اطلاعات تماس طراحی شده اند. به طور عمده، این نوع اصلی بدافزار Qbot برای سرقت رمزهای عبور استفاده می شود.
انواع Qbot نیز مشاهده شده است که keylogging، فرآیند قلاب کردن، و حتی حمله به سیستم ها از طریق درهای پشتی انجام می شود.
Qbot از زمان ایجاد آن در دهه 2000 به گونهای اصلاح شده است که قابلیتهای درب پشتی داشته باشد و آن را به یک تهدید بسیار بیشتر تبدیل کرده است. درب پشتی اساسا یک راه غیر رسمی برای نفوذ به یک سیستم یا شبکه است. هکرها اغلب از درهای پشتی برای انجام حملات خود استفاده می کنند، زیرا راه آسان تری برای ورود به آنها می دهد. “Backdoor.Qbot” نامی است که به این نوع Qbot داده شده است.
در ابتدا، Qbot از طریق بدافزار Emotet، شکل دیگری از تروجان، منتشر شد. امروزه Qbot معمولاً از طریق کمپینهای ایمیل مخرب از طریق پیوستها پخش میشود. چنین کمپین هایی شامل ارسال حجم زیادی از نامه های هرزنامه به صدها یا حتی هزاران گیرنده است، به این امید که برخی از کاربران هدف تعامل داشته باشند.
در پیوستهای ایمیل مخرب، Qbot معمولاً بهعنوان یک فایل .zip مشاهده میشود که حاوی یک قطرهانداز ماکرو مملو از XLS است. اگر یک گیرنده پیوست مخربی را باز کند، این بدافزار را میتوان در دستگاه او مستقر کرد، اغلب بدون اطلاع او.
Qbot همچنین می تواند از طریق کیت های بهره برداری پخش شود. اینها ابزارهایی هستند که به مجرمان سایبری در استقرار بدافزار کمک می کنند. کیتهای اکسپلویت میتوانند آسیبپذیریهای امنیتی دستگاهها را برجسته کنند و سپس از آسیبپذیریهای گفته شده برای دسترسی غیرمجاز سوء استفاده کنند.
اما همه چیز با سرقت رمز عبور و درهای پشتی متوقف نمی شود. اپراتورهای Qbot نیز نقش بزرگی به عنوان Initial Access Brokers ایفا کرده اند. اینها مجرمان سایبری هستند که دسترسی سیستم را به سایر عوامل مخرب می فروشند. در مورد بازیگران Qbot، دسترسی به برخی از گروه های بزرگ، از جمله سازمان باج افزار به عنوان سرویس REvil، اعطا شده است. در واقع، باجافزارهای مختلف وابسته با استفاده از Qbot برای دسترسی اولیه به سیستم مشاهده شدهاند که به این بدافزار هدف نگرانکننده دیگری میدهد.
Qbot در بسیاری از کمپین های مخرب ظاهر شده است و برای هدف قرار دادن طیف وسیعی از صنایع استفاده می شود. سازمانهای بهداشتی، وبسایتهای بانکی، ارگانهای دولتی و شرکتهای تولیدی همگی هدف Qbot قرار گرفتهاند. TrendMicro در سال 2020 گزارش داد که 28.1 درصد از اهداف Qbot در حوزه مراقبت های بهداشتی قرار دارد.
هشت صنعت دیگر، در کنار چندین صنعت متفرقه، نیز در محدوده هدف Qbot قرار دارند، از جمله:
- تولید.
- دولت ها.
- بیمه.
- تحصیلات.
- فن آوری.
- نفت و گاز.
- حمل و نقل.
- خرده فروشی.
TrendMicro همچنین در همان گزارش اظهار داشت که تایلند، چین و ایالات متحده بالاترین تعداد شناسایی Qbot را در سال 2020 داشتند. دیگر مکانهای تشخیص رایج شامل استرالیا، آلمان و ژاپن بودند، بنابراین Qbot به وضوح یک تهدید جهانی است.
Qbot سالهاست که وجود داشته است زیرا تاکتیکهای حمله و فرار آن به طور مداوم برای همگام شدن با اقدامات امنیت سایبری مدرن تکامل یافته است. تنوع Qbot همچنین آن را به یک خطر بزرگ برای مردم در سراسر جهان تبدیل می کند، زیرا با استفاده از این برنامه می توان آنها را به طرق مختلف مورد هدف قرار داد.
چگونه از بدافزار Qbot جلوگیری کنیم
100 درصد مواقع اجتناب از بدافزار تقریبا غیرممکن است. حتی بهترین برنامه آنتی ویروس نمی تواند شما را در برابر حملات به طور نامحدود محافظت کند. اما نصب نرم افزار آنتی ویروس بر روی دستگاه شما نقش مهمی در ایمن نگه داشتن شما در برابر بدافزارها خواهد داشت. وقتی صحبت از امنیت سایبری به میان می آید این باید اولین قدم در نظر گرفته شود. خب، بعدش چی؟
از آنجایی که Qbot معمولاً از طریق کمپین های هرزنامه منتشر می شود، مهم است که از شاخص های ایمیل های مخرب آگاه باشید.
پرچمهای قرمز متعددی وجود دارند که میتوانند یک ایمیل را به عنوان مخرب نشان دهند، که از محتویات شروع میشود. اگر یک آدرس جدید ایمیلی حاوی پیوند یا پیوست برای شما ارسال کرده است، عاقلانه است تا زمانی که مطمئن شوید که میتوان به آن اعتماد کرد، از آن خودداری کنید. سایت های مختلفی برای بررسی پیوند وجود دارد که می توانید از آنها برای تأیید مشروعیت URL استفاده کنید تا بدانید که آیا کلیک کردن روی آن بی خطر است یا خیر.
پیوستها میتوانند به همان اندازه لینکها خطرناک باشند، بنابراین هنگام دریافت ایمیلها باید مراقب آنها باشید.
پسوندهای فایل پیوست خاصی وجود دارند که معمولاً برای انتشار بدافزار استفاده می شوند، از جمله pdf.، exe.، .doc، xls. و .scr. در حالی که اینها تنها پسوندهای فایلی نیستند که برای عفونت بدافزار استفاده میشوند، اما جزو رایجترین انواع هستند، بنابراین هنگام دریافت فایلهای پیوست شده در ایمیلهای خود، مراقب آنها باشید.
اگر تا به حال از فرستنده جدیدی ایمیلی برای شما ارسال می شود که حاوی احساس فوریت است، باید مراقب خود نیز باشید. مجرمان سایبری تمایل دارند از زبان متقاعدکننده در ارتباطات خود استفاده کنند تا قربانیان را وادار به رعایت آنها کنند.
برای مثال، ممکن است ایمیلی دریافت کنید مبنی بر اینکه یکی از حسابهای رسانه اجتماعی شما به دلیل تلاشهای مکرر برای ورود قفل شده است. این ایمیل میتواند پیوندی را دریافت کند که باید روی آن کلیک کنید تا وارد حساب خود شوید و قفل آن را باز کنید، اما، در واقع، این یک سایت مخرب است که برای سرقت دادههایی که وارد میکنید (در این مورد، اعتبارنامه ورود شما) طراحی شده است. بنابراین، اگر ایمیلهای قانعکنندهای دریافت کردید، در نظر داشته باشید که آیا شما برای رعایت قوانین دستکاری میشوید، زیرا این یک امکان بسیار واقعی است.
Qbot شکل اصلی بدافزار است
افزایش تطبیق پذیری یک برنامه بدافزار تقریباً همیشه آن را بیشتر به یک تهدید تبدیل می کند، و با گذشت زمان، تنوع Qbot آن را به عنوان یک نیروی خطرناک ایمن کرده است. این شکل از بدافزار ممکن است در طول زمان به تکامل خود ادامه دهد و واقعاً نمیدانیم که در آینده با چه قابلیتهایی سازگار خواهد شد.