Злоумышленники с 2007 года развивают свое ПО, пытаясь избежать обнаружения.
https://www.securitylab.ru/upload/ib...461b16cb29.png
По словам исследователей Zscaler Threatlabz Таруна Девана и Адитьи Шармы, операторы Qakbot вновь изменили свои методы для обхода систем безопасности. Злоумышленники начали использовать ZIP-архивы, заманчивые имена файлов с популярными форматами и Excel (XLM) 4.0, чтобы обманом заставить жертв загрузить файлы с вредоносом внутри.
Кроме этого, хакеры значительно усложнили код, добавили новые уровни в цепочку атак, начали использовать несколько URL-адресов и неизвестные расширения файлов (.OCX, .ooccxx, .dat, .gyp) для развертывания полезной нагрузки.
Специалисты также отметили, что операторы Qakbot в мае перешли с макросов XLM на файлы .LNK, тем самым пытаясь противостоять блокировке макросов Office. Еще у хакеров нашлось несколько интересных модификаций, которые включают в себя:<ul><li>Использование PowerShell для загрузки DLL вредоносного ПО;</li>
</ul><ul><li>Переход с regsvr32.exe на rundlll32.exe для развертывания полезной нагрузки.</li>
</ul>Специалисты назвали эти модификации явным признаком развития Qakbot. Они считают, что таким образом злоумышленники пытаются обойти обновленные методы безопасности и средства защиты.