Wat is de Qbot Malware-familie?

Malware is nu zo gewoon dat er hele "families" van elke soort worden gecreëerd. Dit is het geval voor Qbot, een malwarefamilie die wordt gebruikt om gegevens te stelen. Maar waar komt Qbot vandaan, hoe gevaarlijk is het en kun je uit de buurt blijven?

De oorsprong van Qbot

Zoals vaak het geval is met malware, werd Qbot (ook bekend als Qakbot, Quakbot of Pinkslipbot) pas ontdekt toen het in het wild werd gevonden. In termen van cyberbeveiliging verwijst 'in het wild' naar een scenario waarin een vorm van malware zich verspreidt onder gerichte apparaten zonder toestemming van de gebruiker. Aangenomen wordt dat Qbot al sinds 2007 in gebruik is, waardoor het een aanzienlijk oudere vorm van malware is dan veel populaire soorten die er tegenwoordig zijn.

Veel vormen van malware uit de jaren 2000 worden niet meer gebruikt, simpelweg omdat ze niet effectief genoeg zijn om moderne technologie aan te pakken. Maar Qbot valt hier op. Op het moment van schrijven is Qbot al minstens 16 jaar actief, een indrukwekkende levensduur voor een malwareprogramma.

Sinds 2007 is Qbot herhaaldelijk in gebruik in het wild waargenomen, hoewel dit ook werd onderbroken door periodes van stagnatie. Het is in ieder geval nog steeds een populaire optie onder cybercriminelen.

Qbot is in de loop der jaren geëvolueerd en is om verschillende redenen door talloze hackers gebruikt. Qbot begon als een Trojaans paard, een programma dat verborgen blijft in ogenschijnlijk onschuldige apps. Trojaanse paarden kunnen voor veel kwaadaardige doeleinden worden gebruikt, waaronder gegevensdiefstal en toegang op afstand. Qbot gaat meer specifiek op zoek naar bankreferenties. Om deze reden wordt het beschouwd als een banktrojan.

Maar is dit nog steeds het geval? Hoe werkt Qbot vandaag?

Hoe werkt Qbot?

De Qbot die vandaag wordt gezien, is er in veel verschillende vormen, maar is vooral een infostealer-trojan. Zoals de naam al doet vermoeden, zijn infostealer-trojans ontworpen om waardevolle gegevens te stelen, zoals betalingsinformatie, inloggegevens en contactgegevens. Dit belangrijkste type Qbot-malware wordt voornamelijk gebruikt om wachtwoorden te stelen.

Er zijn ook Qbot-varianten waargenomen die keylogging, process hooking en zelfs aanvallende systemen uitvoeren via backdoors.

Sinds de oprichting in de jaren 2000 is Qbot gewijzigd in hebben achterdeurmogelijkheden, waardoor het een veel grotere bedreiging vormt. Een achterdeur is in wezen een niet-officiële manier om een ​​systeem of netwerk te infiltreren. Hackers gebruiken vaak backdoors om hun aanvallen uit te voeren, omdat het hen een gemakkelijkere toegang geeft. "Achterdeur. Qbot" is de naam die aan deze variant van Qbot is gegeven.

Aanvankelijk werd Qbot verspreid via Emotet-malware, een andere vorm van trojan. Tegenwoordig wordt Qbot meestal verspreid via kwaadaardige e-mailcampagnes via bijlagen. Dergelijke campagnes omvatten het verzenden van grote hoeveelheden spammail naar honderden of zelfs duizenden ontvangers, in de hoop dat enkele van de beoogde gebruikers zullen reageren.

Binnen kwaadaardige e-mailbijlagen wordt Qbot vaak gezien als een .zip-bestand met een macro-beladen XLS-dropper. Als een ontvanger een schadelijke bijlage opent, kan de malware op zijn apparaat worden ingezet, vaak zonder dat hij het weet.

Qbot kan ook worden verspreid via exploitkits. Dit zijn tools die cybercriminelen helpen bij het inzetten van malware. Exploitkits kunnen beveiligingskwetsbaarheden in apparaten aan het licht brengen en deze kwetsbaarheden vervolgens misbruiken om ongeoorloofde toegang te krijgen.

Maar het houdt niet op bij het stelen van wachtwoorden en achterdeurtjes. Qbot-operators hebben ook een grote rol gespeeld als Initial Access Brokers. Dit zijn cybercriminelen die systeemtoegang verkopen aan andere kwaadwillende actoren. In het geval van Qbot-acteurs is toegang verleend aan enkele grote groepen, waaronder de REvil ransomware-as-a-service organisatie. Er is zelfs waargenomen dat verschillende aan ransomware gelieerde partijen Qbot gebruiken als eerste systeemtoegang, waardoor deze malware nog een ander zorgwekkend doel heeft.

Qbot is opgedoken in veel kwaadaardige campagnes en wordt gebruikt om verschillende industrieën te targeten. Gezondheidszorgorganisaties, websites van banken, overheidsinstanties en productiebedrijven zijn allemaal het doelwit van Qbot. TrendMicro meldde in 2020 dat 28,1 procent van de doelen van Qbot binnen de gezondheidszorg ligt.

Nog eens acht industrieën, naast talloze andere, vallen ook onder het doelbereik van Qbot, waaronder:

• Productie.
• Overheden.
• Verzekering.
• Onderwijs.
• Technologie.
• Olie en gas.
• Vervoer.
• Detailhandel.

TrendMicro verklaarde in hetzelfde rapport ook dat Thailand, China en de VS in 2020 de hoogste aantallen Qbot-detecties hadden. Andere veel voorkomende detectielocaties waren Australië, Duitsland en Japan, dus Qbot is duidelijk een wereldwijde bedreiging.

Qbot bestaat al zoveel jaren omdat zijn aanvals- en ontwijkingstactieken voortdurend zijn geëvolueerd om gelijke tred te houden met moderne cyberbeveiligingsmaatregelen. De diversiteit van Qbot maakt het ook een enorm gevaar voor mensen over de hele wereld, omdat ze op zoveel manieren het doelwit kunnen zijn van dit programma.

Hoe Qbot-malware te vermijden

Het is vrijwel onmogelijk om malware 100 procent van de tijd te vermijden. Zelfs het beste antivirusprogramma kan u niet voor onbepaalde tijd tegen aanvallen beschermen. Maar het hebben van antivirussoftware op uw apparaat zal een cruciale rol spelen om u te beschermen tegen malware. Dit moet worden beschouwd als de eerste stap als het gaat om cyberbeveiliging. Dus wat nu?

Omdat Qbot vaak wordt verspreid via spamcampagnes, is het belangrijk dat u op de hoogte bent van de indicatoren van kwaadaardige e-mail.

Er zijn tal van rode vlaggen die een e-mail als kwaadaardig kunnen bestempelen, te beginnen met de inhoud. Als een nieuw adres u een e-mail met een link of bijlage heeft gestuurd, is het verstandig om te wachten totdat u zeker weet dat het te vertrouwen is. Er zijn verschillende sites voor het controleren van links u kunt gebruiken om de legitimiteit van een URL te verifiëren, zodat u weet of het veilig is om erop te klikken.

Bijlagen kunnen net zo gevaarlijk zijn als links als het gaat om malware-infectie, dus u moet er voorzichtig mee zijn wanneer u e-mails ontvangt.

Er zijn bepaalde bestandsextensies voor bijlagen die vaak worden gebruikt om malware te verspreiden, waaronder .pdf, .exe, .doc, .xls en .scr. Hoewel dit niet de enige bestandsextensies zijn die worden gebruikt voor malware-infectie, behoren ze tot de meest voorkomende typen, dus houd ze in de gaten wanneer u bijgevoegde bestanden in uw e-mails ontvangt.

Als u ooit een e-mail ontvangt van een nieuwe afzender die een gevoel van urgentie bevat, moet u ook op uw hoede zijn. Cybercriminelen hebben de neiging om overtuigende taal te gebruiken in hun communicatie om slachtoffers ertoe te bewegen zich aan de regels te houden.

U kunt bijvoorbeeld een e-mail ontvangen waarin staat dat een van uw sociale media-accounts is vergrendeld vanwege herhaalde inlogpogingen. De e-mail kan een link ontvangen waarop u moet klikken om u aan te melden bij uw account en deze te ontgrendelen, maar in In werkelijkheid is dit een kwaadaardige site die is ontworpen om de gegevens die u invoert te stelen (in dit geval uw login referenties). Dus, als u bijzonder overtuigende e-mail ontvangt, overweeg dan of u wordt gemanipuleerd om naleving na te leven, aangezien dit een zeer reële mogelijkheid is.

Qbot is een belangrijke vorm van malware

Door de veelzijdigheid van een malwareprogramma te vergroten, wordt het bijna altijd een grotere bedreiging, en naarmate de tijd verstreek, heeft de diversificatie van Qbot het als een gevaarlijke kracht veiliggesteld. Deze vorm van malware kan in de loop van de tijd blijven evolueren, en het is echt niet bekend welke mogelijkheden het vervolgens zal aanpassen.