⚡️Операторы Qbot могут украсть учетные данные всего за 30 минут
Операторы вредоносного ПО Qbot возобновили свои атаки с целью кражи конфиденциальных данных, осуществляя их всего за 30 минут. Согласно отчету специалистов DFIR, злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную систему.
Кроме того, вредоносная программа добавляет DLL-библиотеку Qbot в список исключений Защитника Windows, поэтому она не будет обнаружена при внедрении в msra.exe.
Qbot перемещается ко всем компьютерным системам в сканируемой среде, копируя DLL-библиотеку на следующую цель и удаленно создавая службу для ее выполнения. В то же время предыдущая система очищается, поэтому атакованное устройство выглядит нормально. Кроме того, службы, созданные на новых устройствах, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.