Вредоносное ПО Qbot обнаружено внутри пакетов установщика Windows

Операторы ботнета Qbot больше не распространяют вредоносное ПО через зараженные документы Microsoft Office. Вместо этого они выбирают используют пакеты MSI Windows Installer.

Вредоносное ПО Qbot обнаружено внутри пакетов установщика Windows. Фото: Pixabay

Исследователи кибербезопасности рассматривают это как «прямую реакцию» на действия Microsoft по предотвращению доставки вредоносных программ через макросы Office.

Qbot или Quakbot — это банковский троян для Windows, который бродит по миру уже более десяти лет. Злоумышленники обычно используют его для кражи информации для входа в банковскую систему, а также личных и других данных, связанных с идентификацией. Его также можно использовать как дроппер, распространяющий Cobalt Strike на скомпрометированных конечных точках, сообщает Techradar.

Qbot, REvil, Egregor и MegaCortex обычно нацелены на компании, а не на отдельных лиц.

В конце января этого года Microsoft предприняла важный шаг, чтобы воспрепятствовать преступникам использовать файлы Office для распространения вредоносного ПО — макросы Excel 4.0 (XLM) были отключены по умолчанию.

Еще в июле 2021 года компания выпустила новую опцию настройки Центра управления безопасностью Excel, позволяющую администраторам ограничивать использование макросов Excel 4.0 (XLM). С тех пор эта опция по умолчанию установлена для всех.

Макросы Excel 4.0 (XLM) были форматом по умолчанию до 1993 года, и хотя их поддержка прекращена, их все еще можно запускать в последних версиях программы Office. Это делает их идеальными для злоумышленников, которые используют их для распространения вредоносных программ, таких как TrickBot, Zloader, Qbot, Dridex и многих другие вредоносные программы.

Администраторы могут использовать существующий элемент управления политикой приложений Microsoft 365 для предотвращения запуска макросов. Параметр групповой политики «Параметры уведомлений макросов» для Excel можно найти по следующему пути и в разделе реестра:

Путь групповой политики: Конфигурация пользователя > Административные шаблоны > Microsoft Excel 2016 > Параметры Excel > Безопасность > Центр управления безопасностью.

Путь к разделу реестра: Компьютер\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\excel\security

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме