خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

خانواده بدافزار Qbot چیست؟

ارشیا یوسفی ادیب ۲۰ فروردین, ۱۴۰۲ 6 دقیقه زمان مطالعه

بدافزار Qbot که با نام‌های Qakbot، Quakbot یا Pinkslipbot نیز شناخته می‌شود، یک تروجان بانکی تطبیقی ​​است که به طور جدی امنیت شما را تهدید می‌کند.

بدافزار در حال حاضر آنقدر رایج شده است که کل “خانواده ها” از هر نوع در حال ایجاد هستند. این مورد برای Qbot، یک خانواده بدافزار است که برای سرقت داده ها استفاده می شود. اما Qbot از کجا آمده است، چقدر خطرناک است، و آیا می‌توانید از آن جلوگیری کنید؟

ریشه های Qbot

همانطور که اغلب در مورد بدافزار اتفاق می افتد، Qbot (همچنین به عنوان Qakbot، Quakbot یا Pinkslipbot شناخته می شود) تنها زمانی کشف شد که در طبیعت یافت شد. در اصطلاح امنیت سایبری، «در طبیعت» به سناریویی اطلاق می‌شود که در آن نوعی بدافزار بدون اجازه کاربران در میان دستگاه‌های هدف پخش می‌شود. تصور می‌شود که Qbot حداقل از سال 2007 در حال کار بوده است، و آن را به شکل قابل توجهی قدیمی‌تر از بدافزارها نسبت به بسیاری از گونه‌های محبوب امروزی تبدیل کرده است.

بسیاری از اشکال بدافزار از دهه 2000 دیگر مورد استفاده قرار نمی گیرند، فقط به این دلیل که به اندازه کافی برای مقابله با فناوری مدرن مؤثر نیستند. اما Qbot در اینجا برجسته است. در زمان نگارش این مقاله، Qbot حداقل 16 سال است که در حال کار بوده است که طول عمر قابل توجهی برای یک برنامه بدافزار است.

از سال 2007، Qbot به طور مکرر در حال استفاده در طبیعت مشاهده شده است، اگرچه این کار نیز با دوره های رکود قطع شده است. در هر صورت، هنوز هم یک گزینه محبوب در بین مجرمان سایبری است.

Qbot در طول سال ها تکامل یافته است و به دلایل متعدد توسط هکرهای متعددی مورد استفاده قرار گرفته است. Qbot به عنوان یک تروجان شروع شد، برنامه ای که در برنامه های به ظاهر بی ضرر پنهان می ماند. تروجان ها را می توان برای بسیاری از اهداف مخرب، از جمله سرقت اطلاعات و دسترسی از راه دور استفاده کرد. Qbot، به طور خاص، به دنبال اعتبار بانکی است. به همین دلیل یک تروجان بانکی محسوب می شود.

اما آیا هنوز هم همینطور است؟ Qbot امروز چگونه کار می کند؟

مطلب مرتبط:   کلاهبرداری Crypto Honeypot چیست؟

Qbot چگونه کار می کند؟

هشدار بدافزار قرمز روی لپ تاپ

Qbot که امروزه دیده می‌شود به اشکال مختلف عرضه می‌شود، اما مهم‌ترین آن یک تروجان سرقت اطلاعات است. همانطور که از نام آن پیداست، تروجان های infostealer برای سرقت داده های ارزشمند مانند اطلاعات پرداخت، اعتبار ورود و اطلاعات تماس طراحی شده اند. به طور عمده، این نوع اصلی بدافزار Qbot برای سرقت رمزهای عبور استفاده می شود.

انواع Qbot نیز مشاهده شده است که keylogging، فرآیند قلاب کردن، و حتی حمله به سیستم ها از طریق درهای پشتی انجام می شود.

Qbot از زمان ایجاد آن در دهه 2000 به گونه‌ای اصلاح شده است که قابلیت‌های درب پشتی داشته باشد و آن را به یک تهدید بسیار بیشتر تبدیل کرده است. درب پشتی اساسا یک راه غیر رسمی برای نفوذ به یک سیستم یا شبکه است. هکرها اغلب از درهای پشتی برای انجام حملات خود استفاده می کنند، زیرا راه آسان تری برای ورود به آنها می دهد. “Backdoor.Qbot” نامی است که به این نوع Qbot داده شده است.

در ابتدا، Qbot از طریق بدافزار Emotet، شکل دیگری از تروجان، منتشر شد. امروزه Qbot معمولاً از طریق کمپین‌های ایمیل مخرب از طریق پیوست‌ها پخش می‌شود. چنین کمپین هایی شامل ارسال حجم زیادی از نامه های هرزنامه به صدها یا حتی هزاران گیرنده است، به این امید که برخی از کاربران هدف تعامل داشته باشند.

در پیوست‌های ایمیل مخرب، Qbot معمولاً به‌عنوان یک فایل .zip مشاهده می‌شود که حاوی یک قطره‌انداز ماکرو مملو از XLS است. اگر یک گیرنده پیوست مخربی را باز کند، این بدافزار را می‌توان در دستگاه او مستقر کرد، اغلب بدون اطلاع او.

Qbot همچنین می تواند از طریق کیت های بهره برداری پخش شود. اینها ابزارهایی هستند که به مجرمان سایبری در استقرار بدافزار کمک می کنند. کیت‌های اکسپلویت می‌توانند آسیب‌پذیری‌های امنیتی دستگاه‌ها را برجسته کنند و سپس از آسیب‌پذیری‌های گفته شده برای دسترسی غیرمجاز سوء استفاده کنند.

اما همه چیز با سرقت رمز عبور و درهای پشتی متوقف نمی شود. اپراتورهای Qbot نیز نقش بزرگی به عنوان Initial Access Brokers ایفا کرده اند. اینها مجرمان سایبری هستند که دسترسی سیستم را به سایر عوامل مخرب می فروشند. در مورد بازیگران Qbot، دسترسی به برخی از گروه های بزرگ، از جمله سازمان باج افزار به عنوان سرویس REvil، اعطا شده است. در واقع، باج‌افزارهای مختلف وابسته با استفاده از Qbot برای دسترسی اولیه به سیستم مشاهده شده‌اند که به این بدافزار هدف نگران‌کننده دیگری می‌دهد.

مطلب مرتبط:   LockBit Ransomware Gang مدعی حمله پست سلطنتی شد

Qbot در بسیاری از کمپین های مخرب ظاهر شده است و برای هدف قرار دادن طیف وسیعی از صنایع استفاده می شود. سازمان‌های بهداشتی، وب‌سایت‌های بانکی، ارگان‌های دولتی و شرکت‌های تولیدی همگی هدف Qbot قرار گرفته‌اند. TrendMicro در سال 2020 گزارش داد که 28.1 درصد از اهداف Qbot در حوزه مراقبت های بهداشتی قرار دارد.

هشت صنعت دیگر، در کنار چندین صنعت متفرقه، نیز در محدوده هدف Qbot قرار دارند، از جمله:

  • تولید.
  • دولت ها.
  • بیمه.
  • تحصیلات.
  • فن آوری.
  • نفت و گاز.
  • حمل و نقل.
  • خرده فروشی.

TrendMicro همچنین در همان گزارش اظهار داشت که تایلند، چین و ایالات متحده بالاترین تعداد شناسایی Qbot را در سال 2020 داشتند. دیگر مکان‌های تشخیص رایج شامل استرالیا، آلمان و ژاپن بودند، بنابراین Qbot به وضوح یک تهدید جهانی است.

Qbot سال‌هاست که وجود داشته است زیرا تاکتیک‌های حمله و فرار آن به طور مداوم برای همگام شدن با اقدامات امنیت سایبری مدرن تکامل یافته است. تنوع Qbot همچنین آن را به یک خطر بزرگ برای مردم در سراسر جهان تبدیل می کند، زیرا با استفاده از این برنامه می توان آنها را به طرق مختلف مورد هدف قرار داد.

چگونه از بدافزار Qbot جلوگیری کنیم

100 درصد مواقع اجتناب از بدافزار تقریبا غیرممکن است. حتی بهترین برنامه آنتی ویروس نمی تواند شما را در برابر حملات به طور نامحدود محافظت کند. اما نصب نرم افزار آنتی ویروس بر روی دستگاه شما نقش مهمی در ایمن نگه داشتن شما در برابر بدافزارها خواهد داشت. وقتی صحبت از امنیت سایبری به میان می آید این باید اولین قدم در نظر گرفته شود. خب، بعدش چی؟

از آنجایی که Qbot معمولاً از طریق کمپین های هرزنامه منتشر می شود، مهم است که از شاخص های ایمیل های مخرب آگاه باشید.

پرچم‌های قرمز متعددی وجود دارند که می‌توانند یک ایمیل را به عنوان مخرب نشان دهند، که از محتویات شروع می‌شود. اگر یک آدرس جدید ایمیلی حاوی پیوند یا پیوست برای شما ارسال کرده است، عاقلانه است تا زمانی که مطمئن شوید که می‌توان به آن اعتماد کرد، از آن خودداری کنید. سایت های مختلفی برای بررسی پیوند وجود دارد که می توانید از آنها برای تأیید مشروعیت URL استفاده کنید تا بدانید که آیا کلیک کردن روی آن بی خطر است یا خیر.

مطلب مرتبط:   بارک چیست؟ برنامه نظارت اجتماعی توضیح داد

نماد ایمیل با علامت تعجب در پس زمینه سبز دیده می شود

پیوست‌ها می‌توانند به همان اندازه لینک‌ها خطرناک باشند، بنابراین هنگام دریافت ایمیل‌ها باید مراقب آن‌ها باشید.

پسوندهای فایل پیوست خاصی وجود دارند که معمولاً برای انتشار بدافزار استفاده می شوند، از جمله pdf.، exe.، .doc، xls. و .scr. در حالی که اینها تنها پسوندهای فایلی نیستند که برای عفونت بدافزار استفاده می‌شوند، اما جزو رایج‌ترین انواع هستند، بنابراین هنگام دریافت فایل‌های پیوست شده در ایمیل‌های خود، مراقب آنها باشید.

اگر تا به حال از فرستنده جدیدی ایمیلی برای شما ارسال می شود که حاوی احساس فوریت است، باید مراقب خود نیز باشید. مجرمان سایبری تمایل دارند از زبان متقاعدکننده در ارتباطات خود استفاده کنند تا قربانیان را وادار به رعایت آنها کنند.

برای مثال، ممکن است ایمیلی دریافت کنید مبنی بر اینکه یکی از حساب‌های رسانه اجتماعی شما به دلیل تلاش‌های مکرر برای ورود قفل شده است. این ایمیل می‌تواند پیوندی را دریافت کند که باید روی آن کلیک کنید تا وارد حساب خود شوید و قفل آن را باز کنید، اما، در واقع، این یک سایت مخرب است که برای سرقت داده‌هایی که وارد می‌کنید (در این مورد، اعتبارنامه ورود شما) طراحی شده است. بنابراین، اگر ایمیل‌های قانع‌کننده‌ای دریافت کردید، در نظر داشته باشید که آیا شما برای رعایت قوانین دستکاری می‌شوید، زیرا این یک امکان بسیار واقعی است.

Qbot شکل اصلی بدافزار است

افزایش تطبیق پذیری یک برنامه بدافزار تقریباً همیشه آن را بیشتر به یک تهدید تبدیل می کند، و با گذشت زمان، تنوع Qbot آن را به عنوان یک نیروی خطرناک ایمن کرده است. این شکل از بدافزار ممکن است در طول زمان به تکامل خود ادامه دهد و واقعاً نمی‌دانیم که در آینده با چه قابلیت‌هایی سازگار خواهد شد.

Tags: