Qbot - похищает учетные данные и создает бэкдоры на зараженных системах


Qbot (BAE Systems) - новая версия вредоносного ПО, используемого злоумышленниками для атак на управления полиции, больницы и образовательные учреждения в различных странах мира. Основное предназначение вредоноса - хищение учетных данных и создание бэкдоров на зараженных системах.

Для распространения Qbot злоумышленники используют вредоносные рекламные баннеры или методы социальной инженерии. Обманным путем киберпреступники заставляют пользователей переходить на вредоносный web-сайт, где содержится набор эксплоитов RIG.

Попав на систему жертвы, Qbot пытается заразить другие компьютеры в сети. Для этих целей он использует общедоступные папки. В случае, если они защищены паролем, вредонос пытается получить доступ к диспетчеру паролей. Если трояна постигла неудача, тогда он осуществляет брутфорс-атаку, используя для этого список с распространенными сочетаниями логин/пароль. При этом список содержится в его теле.

Задача Qbot - заражение максимального числа компьютеров в сети. Далее вредонос связывается с C&C-сервером, который отправляет обновления каждые шесть часов. Данные обновления содержат инструкции, а также новые версии вредоносного ПО, сгенерированные при помощи двухэтапного полиморфического процесса, модифицирующего структуру трояна, что не позволяет создать уникальную сигнатуру для данного образца.


Стоит напомнить, что впервые ботнет Qbot был обнаружен в октябре 2014 года. Тогда он состоял из 500 тыс. инфицированных систем. Вредоносному ПО удалось перехватить около 800 тыс. транзакций online-банкинга. При этом более половины (59%) сессий были перехвачены у клиентов пяти крупнейших банков США.

В настоящее же время в состав ботнета входит более 54 517 тыс. инфицированных компьютеров в тысячах организаций. Большая часть из них находится в:

  • США;
  • Великобритании;
  • Канаде.


Qbot способен распространяться автоматически и не детектируется большинством антивирусных решений.