มัลแวร์ QBot ตัวใหม่ที่เรียกว่า “QakNote”
พบการโจมตีมัลแวร์ QBot ตัวใหม่ที่เรียกว่า “QakNote” โดยใช้ไฟล์แนบ ‘.one’ ของ Microsoft OneNote ที่เป็นอันตรายเพื่อทำให้ระบบติดไวรัสด้วย Banking trojan
Qbot หรือที่รู้จักในชื่อ QakBot เป็น Banking trojan ที่พัฒนาเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ทำให้ผู้ไม่ประสงค์ดีสามารถโหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกบุกรุกและทำการขโมยข้อมูล
ผู้ไม่ประสงค์ดีสามารถฝังไฟล์ได้เกือบทุกชนิดเมื่อสร้างเอกสาร OneNote ที่เป็นอันตราย รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งไฟล์จะทำงานเมื่อผู้ใช้ดับเบิลคลิกที่ไฟล์แนบที่ฝังอยู่ใน OneNote โดยเมื่อเปิดใช้งานแล้วไฟล์แนบที่ฝังไว้สามารถรันคำสั่งบนเครื่อง เพื่อดาวน์โหลดและติดตั้งมัลแวร์
Sophos นักวิจัยของ Andrew Brandt กล่าวว่าผู้ไม่ประสงค์ดีที่ ได้เริ่มใช้วิธีนี้ในการโจมตีตั้งเเต่วันที่
31 มกราคม 2023 โดยใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML แบบฝัง (ไฟล์ HTA) ที่เรียกข้อมูลเพย์โหลดของมัลแวร์ QBot
สคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.exe เพื่อดาวน์โหลดไฟล์ DLL (มัลแวร์ Qbot) ไปยังโฟลเดอร์ C:\ProgramData และดำเนินการโดยใช้ Rundll32.exe
เพย์โหลด QBot จะเเทรกตัวเองเข้าไปใน Windows Assistive Technology manager (“AtBroker.exe”) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือ AV ที่ทำงานบนอุปกรณ์
Sophos รายงานว่าผู้ดำเนินการของ QBot ใช้วิธีการเผยแพร่สองวิธีสำหรับไฟล์ HTA เหล่านี้คือ วิธีหนึ่งส่งอีเมลพร้อมลิงก์แบบฝังไปยังไฟล์ .one และอีกวิธีหนึ่งใช้วิธี “thread injections”
เพื่อทำให้การโจมตีเหล่านี้หลอกลวงเหยื่อได้มากยิ่งขึ้น ผู้ไม่ประสงค์ดีจึงใช้ปุ่มปลอมในไฟล์ Notebook
ที่หลอกล่อเหยื่อว่าจะดาวน์โหลดเอกสารจากระบบคลาวด์ แต่หากคลิกปุ่มดังกล่าวจะเรียกใช้ไฟล์แนบ HTA ที่ฝังอยู่แทน
คำเเนะนำ
- ไม่ควรเปิดไฟล์เเนบอีเมลที่ไม่รู้จักเเหล่งที่มา
- ควรทำการ Full Scan เครื่องคอมพิวเตอร์ด้วยโปรเเกรม Antivirus
- ควรตระหนักถึงภัยคุกคามทางไซเบอร์
Ref: https://www.bleepingcomputer.com/news/security/new-qaknote-attacks-push-qbot-malware-via-microsoft-onenote-files/