Trojan tar över e-posttrådar för att stjäla data

Säkerhetsforskare hos IT-säkerhetsföretaget Check Point har upptäckt en utvecklad och farligare form av trojan som sprider sig snabbt globalt och som riktar in sig på både företag och privatpersoner.

Trojan tar över e-posttrådar för att stjäla data 1Qbot, som trojanen kallas, identifierades först 2008 och utnyttjar webbläsardata och bankuppgifter.

Check Points forskare hittade flera kampanjer med den nya formen av Qbot mellan mars och augusti 2020. I en av kampanjerna distribuerades Qbot av trojanen Emotet, vilket är en banktrojan som kan stjäla data genom att avlyssna nätverkstrafik. Detta fick forskarna att misstänka att Qbot har ny distributionsteknik och ”command and control”-infrastruktur. 5 procent av de undersökta verksamheterna globalt påverkades av Emotet i juli 2020.

Den senaste versionen av Qbot har utvecklats och har stor kapacitet. Trojanen kan nästan liknas vid en schweizisk armékniv med flera olika funktioner.

  • Informationsstöld – stjäl information från den infekterade datorn, inklusive lösenord, e-post, kreditkortsinformation med mera
  • Ransomware – installerar annan skadlig programvara på infekterade datorer, inklusive ransomware
  • Obehöriga banktransaktioner – låter boten ansluta till offrets dator, även när han eller hon är inloggad, för att göra banktransaktioner från den drabbades IP-adress

Först skickas ett speciellt utformat e-postmeddelande till offret som innehåller en länk och en ZIP-fil med skadlig kod som kan köras i Windows. När datorn är infekterad aktiverar Qbot en speciell funktion som samlar alla e-posttrådar från Outlook och laddar upp dessa på en server. De stulna e-postmeddelandena används sedan i skadliga kampanjer och ger sken av att vara legitima. Forskarna har sett trådar om Covid-19, påminnelser om skattebetalning och jobbrekrytering.

– Vår forskning visar hur även äldre former av skadlig programvara kan uppdateras med nya funktioner för att göra dem till ett kontinuerligt farligt hot, säger Mats Ekdahl, säkerhetsexpert hos Check Point. De cyberkriminella bakom Qbot investerar mycket i dess utveckling för att möjliggöra datastöld i stor skala från verksamheter och privatpersoner. Vi har sett aktiva kampanjer som distribuerar Qbot direkt, liksom användningen av infrastrukturer från tredje part, som Emotet, för att sprida hotet ytterligare. Vi hoppas att våra iakttagelser och forskning om Qbot kommer få ett slut på hotet. Just nu rekommenderar jag starkt alla att titta på sina e-postmeddelanden noggrant för att hitta tecken på nätfiskeförsök – även när e-postmeddelandet verkar komma från en betrodd källa.