老牌银行木马Qakbot病毒正大规模垃圾邮件分发
国内安全公司江民检测到老牌银行木马Qakbot近日又开始肆虐,正在进行大规模垃圾邮件活动中分发窃取机密信息。
Qakbot于2020年11月23日时被检测到在大规模垃圾邮件活动中分发,窃取机密信息并提供勒索软件运营商访问权限。
Qakbot是一款老牌银行木马,自2008年首次被检测到至今仍然存在,而且始终将全球各个金融机构的客户作为目标。
尽管Qakbot存在时间已很久,但其至今仍旧是包括ProLock勒索软件组织在内的多个网络犯罪组织手中的犯罪利器。
Qakbot的攻击目标至今基本保持不变,以窃取银行相信信息并实现电汇欺诈,但其传播方式在各种活动中不断迭代。
最新监测到的Qakbot木马能获取系统访问权限,而这预示着未来其会在目标环境中利用系统访问权限使用勒索软件。
一般情况下,谈及Qakbot就应当提到Emotet,这两款老牌银行木马使用相同的打包程序,而且都具有自我传播能力。
Qakbot和Emotet都能感染网络共享文件夹和驱动器,包括U盘等移动设备,且使用SMB在目标网络蔓延速度非常快。
但Qakbot和Emotet两个木马使用的C&C基础设施间似乎没有任何重叠,其主要组件的代码和范分析技术存在差异。
防范Qakbot和Emotet银行木马的方法比较简单,除了打好补丁做好安防之外,最重要的是不要运行未知来源的程序。
如果你还是中了Qakbot和Emotet木马的招,建议立即切断网络,防止其与C&C服务器通信和在局域网中快速传播。