New QBot email attacks use PDF and WSF combo to install malware
มัลแวร์ QBot ได้ใช้แคมเปญฟิชชิ่งโดยใช้ไฟล์ PDF และไฟล์สคริปต์ Windows (WSF) เพื่อแพร่กระจายไปยังอุปกรณ์ต่างๆของ Windows Qbot หรือที่รู้จักในชื่อ QakBot เป็น banking trojan ในอดีตที่พัฒนามาเป็นมัลแวร์ที่สามารถเข้าถึงเครือข่ายองค์กรต่างๆในเบื้องต้น ซึ่งในการเข้าถึงในครั้งแรกสามารถทำได้โดยการทิ้งเพย์โหลดไว้ เช่น Cobalt Strike, Brute Ratel และมัลแวร์อื่นๆที่อนุญาตให้ผู้โจมตีรายเข้าถึงอุปกรณ์ที่ถูกบุกรุกได้ โดยในเดือนนี้นักวิจัยด้านความปลอดภัย ProxyLife และกลุ่ม Cryptolaemus ได้พบวิธีการแพร่กระจายแบบใหม่ของ Qbot ผ่านทางอีเมลโดยใช้ไฟล์แนบ PDF ที่ดาวน์โหลดไฟล์ Windows Script เพื่อติดตั้ง Qbot บนอุปกรณ์ของเหยื่อ
ไฟล์ PDF ที่แนบมาจะมีชื่อว่า CancelationLetter-[number].pdf ซึ่งเมื่อเปิดแล้วจะแสดงข้อความว่า เอกสารนี้มีไฟล์ที่มีการป้องกัน หากต้องการแสดง ให้คลิกที่ปุ่ม เปิด และเมื่อคลิกปุ่มเปิดจะเป็นการดาวน์โหลดไฟล์ Windows Script (wsf) แทน ไฟล์ Windows Script จะลงท้ายด้วย .wsf โดยจะมีรหัส JScript และ VBScript ผสมกันซึ่งจะถูกเรียกใช้งานเมื่อไฟล์ถูกดับเบิลคลิก นอกจากนี้ไฟล์ WSF ที่ใช้ในแคมเปญการเผยแพร่มัลแวร์ QBot จะมีความซับซ้อนอย่างมาก โดยมีเป้าหมายสูงสุดในการโจมตีจะเป็นการเรียกใช้สคริปต์ PowerShell บนคอมพิวเตอร์ สคริปต์ PowerShell ที่ดำเนินการโดยไฟล์ WSF พยายามดาวน์โหลดไฟล์ DLL จากรายการ URL แต่ละ URL จะถูกลองจนกว่าไฟล์จะดาวน์โหลดไปยังโฟลเดอร์ %TEMP% และดำเนินการได้สำเร็จ
เมื่อมีการเรียกใช้ไฟล์ DLL แล้ว มัลแวร์ Qbot จะทำการรันคำสั่ง PING เพื่อตรวจสอบว่ามีการเชื่อมต่ออินเทอร์เน็ตหรือไม่ จากนั้นมัลแวร์จะแทรกตัวเองเข้าไปในโปรแกรม Windows wermgr.exe (Windows Error Manager) ที่ถูกต้อง ซึ่งจะทำงานอยู่เบื้องหลังอย่างเงียบๆ การติดมัลแวร์ QBot นั้นสามารถนำไปสู่การโจมตีต่างๆบนเครือข่ายองค์กรได้ โดยนักวิจัยจาก The DFIR Report ได้แสดงให้เห็นว่ามัลแวร์ QBot ใช้เวลาประมาณ 30 นาทีในการขโมยข้อมูลที่ละเอียดอ่อนหลังจากการติดไวรัสครั้งแรก และยิ่งไปกว่านั้นมัลแวร์ QBot ใช้เวลาเพียงหนึ่งชั่วโมงในการแพร่กระจายไปยังเวิร์กสเตชันที่อยู่ติดกัน ดังนั้นหากอุปกรณ์ติดไวรัส QBot จำเป็นอย่างยิ่งที่จะต้องทำให้ระบบออฟไลน์โดยเร็วที่สุด และทำการประเมินเครือข่ายทั้งหมดเพื่อหาพฤติกรรมที่ผิดปกติ
https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/