Ένα ύπουλο botnet εισάγεται στην αυθεντική επικοινωνία μεταξύ αξιόπιστων μερών, για να τα ξεγελάσει ώστε να κάνουν κλικ σε κακόβουλους συνδέσμους για να μπορεί να κλέψει προσωπικά δεδομένα και να στείλει ανεπιθύμητα μηνύματα, λέει μια μελέτη της Sophos.
“Το Qakbot εισήγαγε κακόβουλα μηνύματα σε υπάρχουσες συνομιλίες ηλεκτρονικού ταχυδρομείου”, δήλωσε ο Sophos. Ζητήθηκε από τον χρήστη να «ενεργοποιήσει το περιεχόμενο» για να ενεργοποιήσει την αλυσίδα μόλυνσης. Μόλις μολυνθεί ένας νέος στόχος, πραγματοποίησε σάρωση προφίλ, μοιράζοντας τα δεδομένα με τον διακομιστή εντολών και ελέγχου του και στη συνέχεια κατέβασε πρόσθετες κακόβουλες μονάδες».
Τα πλαστά μηνύματα που εισάγονται σε γνήσια νήματα email περιέχουν συνήθως σύντομο περιεχόμενο κειμένου, ακολουθούμενο από έναν σύνδεσμο για τη λήψη ενός αρχείου zip. Αυτοί οι σύνδεσμοι έρχονται με τη μορφή γυμνών διευθύνσεων URL ή κειμένου με άμεση σύνδεση στο σώμα του πλαστού μηνύματος.
Το Qakbot περιγράφεται από τη Sophos ως «ένα όλο και πιο περίπλοκο και επικίνδυνο botnet που διαθέτει αντισυμβατική κρυπτογράφηση, την οποία χρησιμοποιεί επίσης για να αποκρύψει το περιεχόμενο των επικοινωνιών του».
Η μελέτη του Sophos έμαθε ότι το Qakbot αναπτύσσει τουλάχιστον τρία κακόβουλα ωφέλιμα φορτία: μια μονάδα για την εισαγωγή κώδικα κλοπής κωδικού πρόσβασης σε ιστοσελίδες, μια άλλη που πραγματοποιεί σαρώσεις δικτύου για τη συλλογή πληροφοριών για άλλες συσκευές κοντά στον μολυσμένο υπολογιστή και μια τρίτη που προσπαθεί να συνδεθεί με email διακομιστές ώστε να μπορεί να τους βομβαρδίσει με ανεπιθύμητα μηνύματα.
«Επειδή το κακόβουλο λογισμικό είναι τόσο καλό στο να το κάνει αυτό – παραθέτοντας το αρχικό μήνυμα μετά την κακόβουλη απάντησή του – μπορεί να είναι δύσκολο για τους στόχους αυτών των επιθέσεων να αναγνωρίσουν ότι τα μηνύματα που λαμβάνουν δεν προέρχονται από τον άνθρωπο που κατέχει το κουτί ηλεκτρονικού ταχυδρομείου από όπου προήλθαν», πρόσθεσε η Sophos.
Η Sophos πρόσθεσε ότι η αναζωπύρωση του Qakbot τους τελευταίους μήνες θα μπορούσε να εξηγηθεί από τους ανταγωνιστές του – άλλα botnet που βασίζονται σε email όπως το Emotet και το Trickbot – που υποφέρουν από πισωγυρίσματα στα χέρια τεχνολογικών εταιρειών, υπηρεσιών επιβολής του νόμου, ακόμη και δυσαρεστημένων πρώην εγκληματιών.