به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت چک پوینت در گزارشی اعلام کردند نسخه جدیدی از بدافزار کیوبات (Qbot) شناسایی کردهاند که اقدام به سرقت ایمیلهای کاربران از سرویس اوت لوک (Outlook) میکند.
نسخه جدید کیوبات از ماه مارس تا آگوست 2020 بهشدت فعال بوده و با سرقت ایمیلهای کاربران حملات فیشینگ بهمراتب هدفمندتری علیه کارکنان سازمانهای دولتی، نظامی و صنعتی تدارک دیده است.
این بدافزار در یکی از کمپینهای خود از طریق بدافزار «Emotet» توزیعشده و در ماه ژوئیه 2020، پنج درصد از سازمانهای سراسر دنیا را هدف قرار داده است.
کیوبات جدید ایمیلهای مخرب حاوی پیوست آرشیو زیپ که دارای اسکریپت مخرب VBS هستند، ارسال میکند. این اسکریپت در سیستم کاربر پیلودهای اضافی بارگذاری کرده و با سرور فرماندهی و کنترل ارتباط میگیرد.
کیوبات به کمک ماژول مخصوصی مجموعهای از ایمیلهای کاربران را از اوت لوک جمعآوری کرده و به سرور از راه دور ارسال میکند. مهاجمان با استفاده از ایمیلهای سرقت شده و اطلاعاتی که در اختیاردارند پیامهای اسپم و ایمیلهای فیشینگ جدیدی ارسال کرده و اعتماد کاربران را جلب میکنند.
بر اساس گزارش چک پوینت، بیشترین میزان حملات نسخه جدید کیوبات علیه سازمانهای ایالاتمتحده آمریکا (29%) انجامشده است. اهداف بعدی آن نیز در کشورهای هند، اسرائیل، ایتالیا، آلمان، ترکیه، تایوان، کانادا، استرالیا و انگلیس واقع شدهاند.
بدافزار کیوبات که به «QuakBot» ،«QakBot» ،«Pinkslipbot» نیز شناخته میشود، در سال 2008 شناساییشده است و طی سال های گذشته از یک سارق معمولی اطلاعات به چاقوی سوئیسی هکرها مبدل شده است.
این بدافزار قادر است در سیستمهای آلوده بدافزارهای دیگری نصب کند و جهت اتصال از راه دور به سیستم هدف مورداستفاده قرار گیرد تا با استفاده از آدرس آیپی قربانی تراکنشهای مالی انجام دهد.
