Qbot

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

May 29, 2023 by Flamango

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

November 18, 2022 by Coffee Bean

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer

Peretas Ransomware Black Basta Menyusup ke Jaringan melalui Qakbot untuk Menyebarkan Brute Rate C4

October 18, 2022 by Eevee

Pelaku ancaman di balik keluarga ransomware Black Basta telah diamati menggunakan trojan Qakbot untuk menyebarkan kerangka kerja Brute Ratel C4 sebagai payload tahap kedua dalam serangan baru-baru ini.

Perkembangan tersebut menandai pertama kalinya perangkat lunak simulasi musuh yang baru lahir dikirimkan melalui infeksi Qakbot.

Penyusupan, dicapai dengan menggunakan email phishing yang berisi tautan senjata yang menunjuk ke arsip ZIP, selanjutnya memerlukan penggunaan Cobalt Strike untuk gerakan lateral.

Sementara utilitas yang sah ini dirancang untuk melakukan aktivitas pengujian penetrasi, kemampuan mereka untuk menawarkan akses jarak jauh telah menjadikannya alat yang menguntungkan di tangan penyerang yang ingin menyelidiki secara diam-diam lingkungan yang disusupi tanpa menarik perhatian untuk waktu yang lama.

Ini telah diperparah oleh fakta bahwa versi Brute Ratel C4 yang telah di-crack mulai beredar bulan lalu di seluruh kejahatan dunia maya bawah tanah, mendorong pengembangnya untuk memperbarui algoritme lisensi agar lebih sulit untuk diretas.

Qakbot, juga disebut QBot dan QuackBot, adalah pencuri informasi dan trojan perbankan yang diketahui aktif sejak 2007. Namun desain modularnya dan kemampuannya untuk bertindak sebagai pengunduh telah mengubahnya menjadi kandidat yang menarik untuk menjatuhkan malware tambahan.

Menurut Trend Micro, file ZIP dalam email berisi file ISO, yang, pada gilirannya, mencakup file LNK yang mengambil muatan Qakbot, yang menggambarkan upaya sebagian pelaku ancaman untuk beradaptasi dengan taktik lain setelah keputusan Microsoft untuk blokir makro secara default untuk dokumen yang diunduh dari web.

Infeksi Qakbot digantikan oleh pengambilan Brute Ratel dan Cobalt Strike, tetapi tidak sebelum melakukan pengintaian otomatis melalui alat baris perintah bawaan seperti arp, ipconfig, nslookup, netstat, dan whoami.

Dalam rantai eksekusi Qakbot lain yang ditemukan oleh perusahaan keamanan siber, file ZIP dikirimkan melalui metode yang semakin populer yang disebut penyelundupan HTML, yang mengakibatkan eksekusi Brute Rate C4 sebagai tahap kedua.

Temuan ini bertepatan dengan kebangkitan serangan Qakbot dalam beberapa bulan terakhir melalui berbagai teknik seperti lampiran file HTML, pemuatan samping DLL, dan pembajakan utas email, yang terakhir melibatkan pengumpulan email secara massal dari serangan ProxyLogon yang sukses yang ditujukan untuk Microsoft. Server pertukaran.

Qakbot jauh dari satu-satunya malware access-as-a-service yang semakin didistribusikan melalui ISO dan format file lain untuk mengatasi pembatasan makro, karena kampanye Emotet, IcedID, dan Bumblebee semuanya mengikuti lintasan yang sama.

Palo Alto Networks Unit 42, pada akhir September 2022, mengatakan telah menemukan file polyglot berbahaya Microsoft Compiled HTML Help (CHM) yang digunakan untuk mengirimkan malware IcedID (alias BokBot).

Metode pengiriman dan jalur infeksi terkemuka lainnya telah melibatkan penggunaan file ZIP yang dilindungi kata sandi yang berisi file ISO, yang mencerminkan file Qakbot, dengan muatan yang disebarkan melalui layanan bayar per penginstal yang dikenal sebagai PrivateLoader, menurut Tim Cymru.

Dan, di atas semua itu, Emotet tampaknya bersiap untuk serangkaian serangan baru setelah jeda singkat selama tiga bulan untuk mengerjakan ulang modul “systeminfo” untuk “meningkatkan penargetan korban tertentu dan membedakan bot pelacak dari pengguna nyata,” ungkap ESET dalam serangkaian tweet.

Sumber: The Hackernews

QBot phishing menggunakan sideloading Kalkulator Windows untuk menginfeksi perangkat

July 25, 2022 by Eevee

Operator malware QBot telah menggunakan Kalkulator Windows untuk memuat muatan berbahaya di komputer yang terinfeksi.

Pemuatan samping DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) ditangani di Windows. Ini terdiri dari memalsukan DLL yang sah dan menempatkannya di folder tempat sistem operasi memuatnya, bukan yang sah.

QBot, juga dikenal sebagai Qakbot adalah jenis malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi penetes malware, dan digunakan oleh geng ransomware pada tahap awal serangan untuk menjatuhkan suar Cobalt Strike.

Peneliti keamanan ProxyLife baru-baru ini menemukan bahwa Qakbot, telah menyalahgunakan aplikasi Kalkulator Windows 7 untuk serangan pemuatan samping DLL setidaknya sejak 11 Juli. Metode ini terus digunakan dalam kampanye malspam.

Untuk membantu pembela melindungi dari ancaman ini, ProxyLife dan peneliti di Cyble mendokumentasikan rantai infeksi QBot terbaru.

Email yang digunakan dalam kampanye terbaru membawa lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Kata sandi untuk membuka file ZIP ditampilkan dalam file HTML, dan alasan mengunci arsip adalah untuk menghindari deteksi antivirus.

ISO berisi file .LNK, salinan ‘calc.exe’ (Kalkulator Windows), dan dua file DLL, yaitu WindowsCodecs.dll dan muatan bernama 7533.dll.

Saat pengguna memasang file ISO, itu hanya menampilkan file .LNK, yang disamarkan agar terlihat seperti PDF yang menyimpan informasi penting atau file yang dibuka dengan browser Microsoft Edge.

Namun, pintasan mengarah ke aplikasi Kalkulator di Windows, seperti yang terlihat di dialog properti untuk file.

Mengklik pintasan memicu infeksi dengan menjalankan Calc.exe melalui Command Prompt.

Saat dimuat, Kalkulator Windows 7 secara otomatis mencari dan mencoba memuat file DLL WindowsCodecs yang sah. Namun, itu tidak memeriksa DLL di jalur kode keras tertentu, dan akan memuat DLL apa pun dengan nama yang sama jika ditempatkan di folder yang sama dengan yang dapat dieksekusi Calc.exe.

Pelaku ancaman memanfaatkan kelemahan ini dengan membuat file WindowsCodecs.dll berbahaya mereka sendiri yang meluncurkan file .dll [bernomor] lainnya, yang merupakan malware QBot.

Dengan menginstal QBot melalui program tepercaya seperti Kalkulator Windows, beberapa perangkat lunak keamanan mungkin tidak mendeteksi malware saat dimuat, sehingga pelaku ancaman dapat menghindari deteksi.

Perlu dicatat, bahwa kelemahan sideloading DLL ini tidak lagi berfungsi di Windows 10 Calc.exe dan yang lebih baru, itulah sebabnya pelaku ancaman menggabungkan versi Windows 7.

QBot telah ada selama lebih dari satu dekade, dengan asal-usul sejak 2009 [1, 2, 3, 4]. Meskipun kampanye yang mengirimkannya tidak sering, itu diamati didistribusikan oleh botnet Emotet di masa lalu untuk menjatuhkan muatan ransomware.

Sumber: Bleeping Computer

QBot Sekarang Menggunakan Ransomware Black Basta Dalam Serangan Bertenaga Bot

June 7, 2022 by Winnie the Pooh

Geng ransomware Black Basta telah bermitra dengan operasi malware QBot untuk mendapatkan akses awal ke lingkungan perusahaan.

QBot (QuakBot) adalah malware Windows yang mencuri kredensial bank, kredensial domain Windows, dan mengirimkan muatan malware lebih lanjut pada perangkat yang terinfeksi.

Korban biasanya terinfeksi Qbot melalui serangan phishing dengan lampiran berbahaya. Meskipun dimulai sebagai trojan perbankan, ia telah memiliki banyak kolaborasi dengan geng ransomware lain, termasuk MegaCortex, ProLock, DoppelPaymer, dan Egregor.

Black Basta adalah operasi ransomware yang relatif baru yang dimulai dengan mengesankan, melanggar banyak perusahaan dalam waktu yang relatif singkat sambil menuntut pembayaran uang tebusan yang besar.

Analis di NCC Group menemukan kemitraan baru antara Qakbot dan Black Basta selama incident response baru-baru ini di mana mereka dapat mengidentifikasi teknik yang digunakan oleh aktor ancaman.

Sementara geng ransomware biasanya menggunakan QBot untuk akses awal, NCC mengatakan bahwa geng Black Basta menggunakannya untuk menyebar secara lateral ke seluruh jaringan.

Malware dari jarak jauh akan membuat layanan sementara pada host target dan mengonfigurasinya untuk menjalankan DLL-nya menggunakan regsvr32.exe.

Setelah Qakbot aktif dan berjalan, ia dapat menginfeksi berbagi jaringan dan drive, memaksa akun AD, atau menggunakan protokol berbagi file SMB (Server Message Block) untuk membuat salinannya sendiri atau menyebar melalui default admin shares menggunakan kredensial pengguna saat ini.

NCC menyatakan bahwa pelaku ancaman juga menonaktifkan Windows Defender untuk menghindari deteksi dan meminimalkan kemungkinan membahayakan keberhasilan langkah enkripsi.

Selengkapnya: Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

April 12, 2022 by Eevee

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Qbot hanya membutuhkan 30 menit untuk mencuri kredensial Anda

February 9, 2022 by Eevee

Malware yang tersebar luas yang dikenal sebagai Qbot (alias Qakbot atau QuakBot) baru-baru ini kembali ke serangan kecepatan ringan, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Para analis melaporkan bahwa dibutuhkan setengah jam bagi musuh untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Seperti yang ditunjukkan pada diagram berikut, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal biasanya dicapai melalui dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan loader DLL pada mesin target.

Payload ini kemudian dijalankan untuk membuat tugas terjadwal melalui proses msra.exe dan meningkatkan dirinya ke hak istimewa sistem.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Perintah penemuan disuntikkan ke msra.exe
Sumber: DFIR

Malware mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian digunakan untuk serangan phishing berantai ulang dan untuk dijual ke pelaku ancaman lainnya.

Qbot mencuri kredensial Windows dari memori menggunakan injeksi LSASS (Local Security Authority Server Service) dan dari browser web. Ini dimanfaatkan untuk pergerakan lateral ke perangkat lain di jaringan, dimulai pada rata-rata lima puluh menit setelah eksekusi pertama.

Qbot bergerak secara lateral ke semua workstation di lingkungan yang dipindai dengan menyalin DLL ke target berikutnya dan membuat layanan dari jarak jauh untuk menjalankannya.

Pada saat yang sama, infeksi sebelumnya dihapus, sehingga mesin yang baru saja dieksfiltrasi kredensialnya didesinfeksi dan tampak normal.

Selain itu, layanan yang dibuat pada workstation baru memiliki parameter ‘DeleteFlag’, yang menyebabkannya dihapus saat sistem di-boot ulang.

Layanan yang dibuat di stasiun kerja target
Sumber: DFIR

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Selain itu, pelaku ancaman Qbot sering kali suka menggunakan beberapa sistem yang disusupi sebagai titik proxy tingkat pertama untuk penyembunyian dan rotasi alamat yang mudah, dan menggunakan beberapa port untuk komunikasi SSL dengan server C2.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati menjatuhkan muatan ransomware ke jaringan perusahaan yang disusupi.

Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Sumber : Bleeping Computer

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

December 2, 2021 by Eevee Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

—

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Qbot

Cookies Settings