hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
30 września 2022

Quackbot znów w akcji

QakBot (QuackBot, QBot) to nieprzesadnie często ale regularnie pojawiający w polskim internecie wielofunkcyjny trojan. To paskudztwo na które trzeba wyjątkowo uważać, skupia się bowiem przede wszystkim na webinjectach, wykradających loginy i hasła do banków. Dodatkowo szkodnik ten, który dość skutecznie ukrywa się w zainfekowanym systemie, potrafi także:

  • zbierać informacje o komputerze ofiary
  • wykradać hasła z przeglądarki i plików cookie
  • bruteforce’ować hasła
  • manipulować rejestrem

Pierwsze próbki zaobserwowanej przez CERT Orange Polska kampanii datowane są na 26.09. W analizowanym przypadku zaczęło się od dość sprytnego, podszywającego się pod faktyczną konwersację maila. Oznacza to, iż na którymś etapie przestępca miał dostęp do komunikacji mailowej jednej ze stron.

Jak wygląda proces infekowania?

Z linku z maila pobierany jest plik zip. Standardowo zabezpieczony hasłem, by automatyczne systemy bezpieczeństwa nie były w stanie go przenalizować „w locie”. Efektem rozpakowania go jest plik ISO, zaś w jego środku znajdziemy katalog, oraz plik „skrót”.

Jeśli ofiara doszłaby do tego miejsca, zignorowałaby szereg czerwonych flag! Treść e-maila, która – po przyjrzeniu się – zupełnie nie współgrała stylistycznie ze wcześniejszą korespondencją. Plik zip zabezpieczony hasłem – przed tym ostrzegamy od wielu lat. Plik o rozszerzeniu .iso? Tak nie wyglądają pliki, zawierające umowę. Dodatkowy katalog? To też czerwona flaga.

Kliknięcie w „skrót” wywołuje plik javascript:

w kolejnym kroku wykonywany jest plik linii poleceń:

a w kolejnych krokach już plik DLL i ostateczna komunikacja instancji QuackBota z serwerem Command&Control.

Serwery C&C:

179.111.23.186:32101
179.251.119.206:995
84.3.85.30:443
39.44.5.104:995
197.41.235.69:995
193.3.19.137:443
186.81.122.168:443
103.173.121.17:443
41.111.118.56:443
102.189.184.12:995
156.199.90.139:443
14.168.180.223:443
41.140.98.37:995
156.205.3.210:993
139.228.33.176:2222
134.35.12.0:443
49.205.197.13:443
131.100.40.13:995
217.165.146.158:993
73.252.27.208:995

6 maja 2025
Masz Orange Flex? Uważaj!
Dowiedz się więcej
28 kwietnia 2025
To nie SMS od BLIK. To próba wyłudzenia hasła
Dowiedz się więcej
15 kwietnia 2025
Oszuści podszywają się pod Orange Polska!
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance