Quackbot znów w akcji
QakBot (QuackBot, QBot) to nieprzesadnie często ale regularnie pojawiający w polskim internecie wielofunkcyjny trojan. To paskudztwo na które trzeba wyjątkowo uważać, skupia się bowiem przede wszystkim na webinjectach, wykradających loginy i hasła do banków. Dodatkowo szkodnik ten, który dość skutecznie ukrywa się w zainfekowanym systemie, potrafi także:
- zbierać informacje o komputerze ofiary
- wykradać hasła z przeglądarki i plików cookie
- bruteforce’ować hasła
- manipulować rejestrem
Pierwsze próbki zaobserwowanej przez CERT Orange Polska kampanii datowane są na 26.09. W analizowanym przypadku zaczęło się od dość sprytnego, podszywającego się pod faktyczną konwersację maila. Oznacza to, iż na którymś etapie przestępca miał dostęp do komunikacji mailowej jednej ze stron.
![](https://cert.orange.pl/wp-content/uploads/2023/10/531cc3a94ba3dad7e0e1cae48a27ef7e555414af-1.png)
Jak wygląda proces infekowania?
Z linku z maila pobierany jest plik zip. Standardowo zabezpieczony hasłem, by automatyczne systemy bezpieczeństwa nie były w stanie go przenalizować „w locie”. Efektem rozpakowania go jest plik ISO, zaś w jego środku znajdziemy katalog, oraz plik „skrót”.
Jeśli ofiara doszłaby do tego miejsca, zignorowałaby szereg czerwonych flag! Treść e-maila, która – po przyjrzeniu się – zupełnie nie współgrała stylistycznie ze wcześniejszą korespondencją. Plik zip zabezpieczony hasłem – przed tym ostrzegamy od wielu lat. Plik o rozszerzeniu .iso? Tak nie wyglądają pliki, zawierające umowę. Dodatkowy katalog? To też czerwona flaga.
Kliknięcie w „skrót” wywołuje plik javascript:
![](https://cert.orange.pl/wp-content/uploads/2023/10/e15fead4137e563339adc18b433a0320649e8772-1024x477.png)
w kolejnym kroku wykonywany jest plik linii poleceń:
![](https://cert.orange.pl/wp-content/uploads/2023/10/78518105d09532ee82bce90952dc30a1769984ac-1024x480.png)
a w kolejnych krokach już plik DLL i ostateczna komunikacja instancji QuackBota z serwerem Command&Control.
Serwery C&C:
179.111.23.186:32101
179.251.119.206:995
84.3.85.30:443
39.44.5.104:995
197.41.235.69:995
193.3.19.137:443
186.81.122.168:443
103.173.121.17:443
41.111.118.56:443
102.189.184.12:995
156.199.90.139:443
14.168.180.223:443
41.140.98.37:995
156.205.3.210:993
139.228.33.176:2222
134.35.12.0:443
49.205.197.13:443
131.100.40.13:995
217.165.146.158:993
73.252.27.208:995