Yenilenen Qakbot Yeniden Saldırılarda Kullanılmaya Başladı

Windows cihazlarda kişilerin şifre bilgilerini çalmaya çalışan bir zararlı yazılım, radarın altında kalmak için kendine yeni bir yol buldu.

Qakbot ya da Qbot, 2008 yılından beri şirketlerin başına bela olmuş durumda. Solucan tarzı bir yayılıma sahip olan bu zararlı yazılım, şirketlerin şifrelerini ve finansal bilgilerini çalmaya çalışıyor. Virüsün hedefinde ise Microsoft Windows işletim sistemleri var. Bu sistemlerde kendine geçişler bulmaya çalışan yazılım, bu sayede yakalanmadan şifrelere erişmeyi amaçlıyor.

Qakbot şimdi yeni, dayanıklı bir mekanizmayla güçlendirilerek yeniden ortaya salındı. Kurbanların bu yazılımı fark etmesi ve silmesi daha zor hale geldi. Yeni gizlenme tekniği, Cisco Talos’daki siber güvenlik araştırmacıları tarafından ortaya çıkarıldı.

Bu zararlı yazılımdan etkilenen kişiler genellikle bir dosyayı dikkatsizce açan kişiler oluyor. Dropper adı verilen bu ilk paketle gelen ve başarılı şekilde kurulan program, belli bir tarihte yazılımı gönderen kişinin kontrol ettiği domainlerden bir JavaScript indiriyor.

Bu tür hareketlerin yarattığı talepler (bir merkezden veri çağrılması) Nisan 2019’da artış gösterdi. Bu da Qakbot’un yeniden harekete geçtiğini gösteriyor.

Yeni indirici, korsan olarak ele geçirilmiş aynı Uniform Resource Identifier’i kullanıyor ve zararlı yazılımı gizlemek için XOR uçtan uca şifrelemeyle JavaScript’i indiriyor.

Ayrıca yeni sistem sayesinde Qakbot iki parça halinde geliyor ve sadece başarılı indirmeden sonra birleşiyor. Bu da antivirüs yazılımlarının Qakbot’u bulmasını daha da zorlaştırıyor. Cisco Talos güvenlik araştırmacısı Ashlee Benge, tespit yazılımlarının tüm aktarımı görmeye odaklı olduklarını ve Qakbot’un güncel versiyonunu gözden kaçırabildiklerini söylüyor. Programın çok iyi saklanan yeni yapısı nedeniyle bazı güvenlik yazılımları bu uygulamaya müdahale edemiyor.

Qakbot’un kullandığı zararlı adresler de araştırmacılar tarafından açıklandı.

Qakbot’tan korunmanın en önemli adımı ise ilk başta virüsün bilgisayara hiç bulaşmasına izin vermemek. Bu yazılım bilgisayardan temizlense bile zarar vermeye devam edebiliyor.