Osoby korzystające z Microsoft Outlook muszą mieć się na baczności – w sieci buszuje malware, który wykrada tematy ich wiadomości.
Wszystko za sprawą QBot – trojana, który po raz pierwszy został wykryty w 2008 roku. Odpowiada on przede wszystkim za wykradanie informacji oraz danych uwierzytelniających do internetowej bankowości. Doczekał się też wielu nowych „funkcji”, jak np. umożliwienie zaatakowania oprogramowaniem szyfrującym czy łączenie się z komputerem ofiary i dokonywanie za pomocą jej adresu IP transakcji bankowych.
Badacze z Checkpoint informują, że w ostatnim czasie rozszerzył on swoje możliwości o wykradanie tematów maili z klienta Microsoft Outlook. Kampania z użyciem nowego modułu trwa od kilku miesięcy, z największym wzrostem zaatakowanych maszyn odnotowanym pod koniec lipca.
Po co komu tematy maili?
Po zainfekowaniu ofiary za pomocą phishingu, Qbot zbiera tematy wszystkich wiadomości mailowych z klienta Outlook, po czym wysyła je na serwer atakujących. Następnie są one używane do preparowania korespondencji – hakerzy wysyłają do ofiar maila z takim samym tematem, jakiego użyto wcześniej w komunikacji. Dzięki temu ofiara może być mniej podejrzliwa i uznać spreparowaną wiadomość za bezpieczną. Cyberprzestępcy szczególnie upodobali sobie tematy takie jak przypomnienia o zapłaceniu podatku, ogłoszenia o pracę i maile związane z COVID-19.
W wiadomości wysłanej przez hakerów znajduje się odnośnik do zainfekowanego pliku .zip, po uruchomieniu którego na dysk ofiary ściągany jest Qbot. Ponownie zbiera on tematy maili, i próbuje atakować dalej – wracamy do punktu wyjścia. Poza wykradaniem informacji z Outlooka oprogramowanie będzie też próbowało wykonywać swoje „tradycyjne” czynności, a więc przede wszystkim dobierać się do haseł i danych związanych m.in. z bankowością.
Europa i USA na celowniku
Kto został zaatakowany? Wśród zainfekowanych podmiotów dominują te ze Stanów Zjednoczonych, Indii, Izraela, Włoch i Niemiec. Szczególnie narażony jest sektor rządowy i wojskowy – to 37% wszystkich infekcji. Duży udział mają też firmy produkcyjne (15%), kancelarie prawne i firmy ubezpieczeniowe (11%) i służba zdrowia (8%). Napawa to szczególnym niepokojem kiedy przypomnimy sobie, że Qbot może stanowić furtkę dla ransomware. Kampania skupiona jest przede wszystkim wokół USA i Europy, nie można więc wykluczyć, że zainfekowane organizacje znajdują się także w Polsce.