Злоумышленники с 2007 года развивают свое ПО, пытаясь избежать обнаружения.
По словам исследователей Zscaler Threatlabz Таруна Девана и Адитьи Шармы, операторы Qakbot вновь изменили свои методы для обхода систем безопасности. Злоумышленники начали использовать ZIP-архивы, заманчивые имена файлов с популярными форматами и Excel (XLM) 4.0, чтобы обманом заставить жертв загрузить файлы с вредоносом внутри.
Кроме этого, хакеры значительно усложнили код, добавили новые уровни в цепочку атак, начали использовать несколько URL-адресов и неизвестные расширения файлов (.OCX, .ooccxx, .dat, .gyp) для развертывания полезной нагрузки.
Специалисты также отметили, что операторы Qakbot в мае перешли с макросов XLM на файлы .LNK, тем самым пытаясь противостоять блокировке макросов Office. Еще у хакеров нашлось несколько интересных модификаций, которые включают в себя:
- Использование PowerShell для загрузки DLL вредоносного ПО;
- Переход с regsvr32.exe на rundlll32.exe для развертывания полезной нагрузки.
Специалисты назвали эти модификации явным признаком развития Qakbot. Они считают, что таким образом злоумышленники пытаются обойти обновленные методы безопасности и средства защиты.