มีการพบมัลแวร์ตัวใหม่ชื่อว่า QBot มัลแวร์ตัวนี้จะโจมตีผ่านทางอีเมลด้วยวิธี Phishing โดยจะแนบไฟล์ PDF และ Windows Script File (WSF) ไปด้วย
สำหรับวิธีการโจมตี แฮกเกอร์จะส่งอีเมลไปพร้อมกับแนบไฟล์ PDF ที่ชื่อว่า CancelationLetter-[number].pdf ไปด้วย แล้วหากผู้ใช้คลิกเพื่อเปิดดู ระบบจะแสดงข้อความแจ้งว่า “ไฟล์เอกสารนี้มีการป้องกัน หากต้องการอ่านให้คลิกที่ปุ่ม ‘เปิด’”
เมื่อคลิกแล้ว มันจะดาวน์โหลดไฟล์ Windows Script File (WSF) ที่เป็นไฟล์ ZIP ลงไปติดตั้งบนเครื่องผู้ใช้
ที่มาภาพ: Bleeping Computer
ไฟล์ Windows Script นี้จะมีนามสกุลเป็น .wsf ซึ่งภายในจะประกอบไปด้วยโค้ด JavaScript กับ VBScript และจะทำการทันทีเมื่อมีการดาวน์โหลด
ที่มาภาพ: Bleeping Computer
เป้าหมายของ QBot นี้คือ การเรียกใช้ PowerShell Script บนเครื่องคอมพิวเตอร์
ซึ่งหากเครื่องใดติดมัลแวร์ตัวนี้แล้ว มันจะรันคำสั่ง PING เพื่อตรวจสอบดูว่าเครื่องคอมพิวเตอร์นั้นมีการเชื่อมต่ออินเตอร์เน็ตหรือไม่ หลังจากนั้นมันจะแทรกตัวเองเข้าไปในโปรแกรมของ Windows wermgr.exe (Windows Error Manager) แล้วทำงานอยู่เบื้องหลังเงียบๆ
ที่มาภาพ: Bleeping Computer
ซึ่งหากมีเครื่องคอมพิวเตอร์เครื่องใดเครื่องหนึ่งในองค์กร และมีการเชื่อมต่อกับเครื่องอื่นๆ ในองค์กร มัลแวร์ QBot นี้ก็จะสามารถโจมตีเครื่องคอมพิวเตอร์ที่อยู่บนเครือข่ายทั้งหมดขององค์กรได้
นักวิจัยจาก The DFIR Report ได้ทำการทดสอบแล้วพบว่า QBot จะใช้เวลาประมาณ 30 นาที ในการทำให้เครื่องคอมพิวเตอร์ติดมัลแวร์ในครั้งแรก จากนั้นจะใช้เวลาประมาณ 1 ชั่วโมงในการแพร่กระจายมัลแวร์ที่มีกาารเชื่อมต่อ Network
ดังนั้นหากพบว่าอุปกรณ์ที่ใช้งานอยู่ติดมัลแวร์ QBot ควรตัดการเชื่อมออนไลน์อุปกรณ์นั้นๆ ทันที และทำการตรวจสอบเครือข่ายทั้งหมด เพื่อตรวจหากิจกรรมที่ผิดปกติ
ที่มา: Bleeping Computer
