Morphisec Labs виявила масштабну кампанію QakBot (QBot), банківського трояна, який використовує фішингові листи із ZIP-архівами для доставки шкідливих Word-документів. Ця кампанія впроваджує два нових методи, щоб уникнути виявлення антивірусами та ускладнити аналіз.

Як це працює? Атака починається з фішингового листа із ZIP-архівом, що містить Word-документ із макросами. Після активації макросів запускається PowerShell-скрипт, який завантажує QakBot із віддалених URL. Нові техніки:
-ZIP-архів обходить технологію Content Disarm and Reconstruction (CDR), яка зазвичай видаляє шкідливі елементи з документів.
-Виконання Visual Basic через explorer.exe порушує шаблони виявлення EDR-систем, знижуючи шанси на блокування.

Що загрожує? QakBot краде банківські дані, паролі та іншу конфіденційну інформацію, а також може встановлювати додаткові шкідливі модулі.

Як захиститися?

-Не відкривайте вкладення з підозрілих листів, особливо ZIP-файли.
-Перевірте систему на наявність шкідливих файлів за хешами (наприклад, 8253ed3b08ab8996d471af5d25a7223d8c259f45).
-Використовуйте захист від безфайлових атак, як-от Morphisec Moving Target Defense.
-Оновлюйте Windows і антивірусне ПЗ для захисту від фішингу.

Ця кампанія показує, як хакери вдосконалюють методи обходу захисту. Будьте обережні та захищайте свої дані!