Специалисты ИБ-компании Sophos обнаружили новую кампанию QBot, получившую название “QakNote”, которая использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном.
В новом отчете Sophos говорится, что кампания началась 31 января 2023 года и использует файлы OneNote, содержащие встроенное HTML-приложение (HTA-файл), которое извлекает полезную нагрузку вредоносного ПО QBot. Об этом переходе в дистрибутиве QBot впервые публично сообщил исследователь Cynet Макс Малютин в Twitter* 31 января 2023 года.
Сценарий в HTA-файле использует легитимное приложение “curl.exe” для загрузки DLL-файла Qbot в папку “C:ProgramData”, а затем выполняется с помощью “Rundll32.exe”.
Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, “AtBroker.exe”), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.
Sophos сообщает, что операторы QBot используют 2 метода распространения HTA-файлов: первый – отправка электронных писем со встроенной ссылкой на заражённый файл “.one”, а второй – метод “внедрения потоков”.
Техника внедрения потоков представляет собой процесс, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение “ответить всем” всем участникам потока, прикладывая к письму вредоносный файл OneNote в качестве вложения.
Чтобы сделать эти атаки еще более обманчивыми для жертв, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака, но при нажатии вместо этого запускает встроенное HTA-вложение. Хотя после нажатия на кнопку пользователю отобразится предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.
Поддельная кнопка в файле
В качестве защиты от этого нового вектора атаки Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением “.one”, поскольку они обычно не отправляются в виде вложений.
*Соцсеть Twitter запрещена на территории РФ.