Согласно отчету специалистов из DFIR, операторам этого вредоноса достаточно менее часа чтобы украсть данные браузера и электронные письма из Microsoft Outlook, прежде чем на другую компьютерную систему.
Сам вредонос в течение 30 минут после первоначального запуска способен украсть электронные письма, которые затем используются для фишинговых атак или для продажи другим злоумышленниками.
Как это работает?
Qbot крадет учетные данные Windows из памяти с помощью внедрения команд в LSASS (Local Security Authority Server Service) и из web-браузеров. Они используются для перемещения по сети к другим устройствам. Qbot перемещается ко всем компьютерным системам в сканируемой среде, копируя DLL-библиотеку на следующую цель и удаленно создавая службу для ее выполнения. В то же время предыдущая система очищается, поэтому атакованное устройство выглядит нормально. Кроме того, службы, созданные на новых устройствах, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.
О вредоносе QBOT
Впервые вредоносное ПО QBOT обнаружили в далеком 2008 году и за это время он эволюционировал и стал намного опаснее.
В наши дни Qbot используется злоумышленниками в основном для сбора данных сетевых интернет-сессий и данных, связанных с финансовыми веб-сайтами, а так же способен доставлять в зараженную систему другие виды вредоносного ПО и даже использоваться для удаленного подключения к целевой системе, чтобы осуществлять банковские транзакции, используя IP-адрес жертвы.
Так же в августе 2020 года QBOT вошел в десятку самых распространенных вредоносов в мире по версии компании Check Point.