พบการโจมตีด้วย QBot Malware ตัวใหม่ที่เรียกว่า QakNote โดยใช้ไฟล์แนบ
‘.one’ ของ Microsoft OneNote ที่เป็นอันตรายเพื่อทำให้ระบบติดไวรัสด้วย Banking
Trojan
Qbot หรือที่รู้จักกันในชื่อ QakBot เป็น Banking
Trojan ที่พัฒนาเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ทำให้ผู้ไม่ประสงค์ดีสามารถโหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกบุกรุก
และทำการขโมยข้อมูล
ผู้ไม่ประสงค์ดีสามารถฝังไฟล์ได้เกือบทุกชนิดเมื่อสร้างเอกสาร OneNote
ที่เป็นอันตราย
รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งไฟล์จะทำงานเมื่อผู้ใช้ดับเบิลคลิกที่ไฟล์แนบที่ฝังอยู่ใน
OneNote โดยเมื่อเปิดใช้งานแล้วไฟล์แนบที่ฝังไว้สามารถรันคำสั่งบนเครื่อง
เพื่อดาวน์โหลดและติดตั้งมัลแวร์
Sophos นักวิจัยของ Andrew Brandt กล่าวว่าผู้ไม่มีประสงค์ดีที่ ได้เริ่มใช้วิธีนี้ในการโจมตีตั้งแต่วันที่ 31 มกราคม 2023 โดยใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML แบบฝัง (ไฟล์ HTA) ที่เรียกข้อมูลเพย์โหลดของมัลแวร์ Qbot สคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.exe เพื่อดาวน์โหลดไฟล์ DLL (Qbot Malware) ไปยังโฟลเดอร์ C:\ProgramData และดำเนินการโดยใช้ Rundll32.exe
QBot Payload จะแทรกตัวเองเข้าไปใน Windows Assistive
Technology (“AtBroker.exe”) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือ AV ที่ทำงานอยู่บนอุปกรณ์
Sophos รายงานว่าผู้ดำเนินการของ QBot ใช้วิธีการเผยแพร่สองวิธีสำหรับไฟล์ HTA เหล่านี้คือ วิธีหนึ่งส่งอีเมลพร้อมลิงก์แบบฝังไปยังไฟล์ .one และอีกวิธีหนึ่งใช้วิธี “thread injections” เพื่อทำให้การโจมตีเหล่านี้หลอกลวงเหยื่อได้มากยิ่งขึ้น ผู้ไม่ประสงค์ดีจึงใช้ปุ่มปลอมในไฟล์ Notebook ที่หลอกล่อเหยื่อว่าจะดาวน์โหลดเอกสารจากระบบคลาวด์ แต่หากคลิกปุ่มดังกล่าวจะเรียกใช้ไฟล์แนบ HTA ที่ฝังอยู่แทน
คำแนะนำ
- ไม่ควรเปิดไฟล์แนบอีเมลที่ไม่รู้แหล่งที่มา
- ควรทำการ Full Scan เครื่องคอมพิวเตอร์ด้วยโปรแกรม Antivirus
- ควรตระหนักถึงภัยคุกคามทางไซเบอร์
ไม่มีความคิดเห็น:
แสดงความคิดเห็น