Versi malware Qbot baru sekarang mengaktifkan mekanisme persistensi tepat sebelum perangkat Windows yang terinfeksi dimatikan dan secara otomatis menghapus jejak apa pun saat sistem dimulai ulang atau setelah sleep.
Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows dengan fitur worm yang aktif setidaknya sejak 2009 dan digunakan untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan.
Malware ini juga telah digunakan untuk mencatat penekanan tombol pengguna, untuk membuka backdoor pada komputer yang disusupi, dan untuk menyebarkan Cobalt Strike yang digunakan oleh operator ransomware untuk mengirimkan muatan ransomware ProLock dan Egregor.
Dimulai pada 24 November, ketika peneliti keamanan Binary Defense James Quinn mengatakan bahwa versi Qbot baru terlihat, malware tersebut menggunakan mekanisme persistensi yang lebih baru dan tersembunyi yang memanfaatkan sistem shutdown dan melanjutkan pesan untuk mengubah persistensi pada perangkat yang terinfeksi.
Trojan akan menambahkan registry Run key pada sistem yang terinfeksi yang memungkinkannya untuk memulai secara otomatis saat system login dan akan mencoba untuk segera menghapusnya setelah pengguna menyalakan sistem untuk menghindari deteksi oleh solusi anti-malware atau peneliti keamanan.
Meskipun metode untuk mendapatkan persistensi ini baru untuk Qbot, malware lain telah menggunakan teknik serupa untuk menghindari deteksi di masa lalu, termasuk trojan perbankan Gozi dan Dridex.
Sumber: Bleeping Computer