Email security

    Malware en Tracking Qbot: Spamhaus onderzoekt de situatie

    Malware en Tracking Qbot: Spamhaus onderzoekt de situatie


    Qbot-technieken bij gehackte websites

    Een ongebruikelijke benadering wordt gebruikt door Qbot bij het bedienen van aanvragen voor bestanden. In plaats van de verwachte .zip-bestanden te tonen, worden gebruikers omgeleid naar kwaadaardige inhoud. Door samen te werken met geëffectueerde website-eigenaren heeft Spamhaus schadelijke code kunnen identificeren op verschillende gehackte websites. Dit gebeurt door middel van een .htaccess-bestand dat alle aanvragen onder een specifieke subdirectory opvangt.

    Slimme omleiding van kwaadaardige inhoud

    In wezen vangt een rewrite-regel alle verzoeken naar subdirectory’s zoals:

    • /subdir/hello/donuts/file.zip
    • /subdir/madeupdir/anotherfile.zip
    • /subdir/yetanothernonexistantdir/thisfiledoesntexist.zip

    Al deze aanvragen worden omgeleid naar een kwaadaardige PHP-script dat fungeert als een proxy. Dit script haalt de daadwerkelijke kwaadaardige inhoud binnen van een tweede reeks servers. Deze methode maakt het mogelijk om eindeloze unieke URL’s te creëren, terwijl de echte locatie van de kwaadaardige code op de gehackte server verborgen blijft. Slachtoffers, die op links in kwaadaardige e-mails klikken, zijn zich vaak niet bewust van deze omleiding.

    Factoren achter de malspam-campagne

    De ontwerpkeuzes achter deze malspam-campagne zijn waarschijnlijk beïnvloed door verschillende factoren:

    • Apache2 en PHP-vereisten: De meeste doelwitte websites draaien op Apache2 en PHP, aangezien populaire Content Management Systemen zoals WordPress of Typo3 afhankelijk zijn van PHP.

    • Eenvoudige toegang tot sites: De ervaring met de talrijke Emotet-spamcampagnes laat zien dat toegang tot legitieme websites nog steeds relatief eenvoudig is, wat deze kwaadwillenden in staat stelde om op grote schaal websites te compromitteren.

    • Laag profiel: Door kleine bestandgroottes te uploaden, konden zij een laag profiel behouden op de gehackte websites, waardoor traditionele mitigatietechnieken zoals antivirus-URL-handtekeningen minder effectief waren.

    • Efficiënte uitvoering: Hetzelfde script werd gebruikt voor zowel fase 1 (de droppers) als fase 2 (de daadwerkelijke malware), wat de aanpak eenvoudig en effectief maakte.

    Bovendien bevatte de broncode instructies die de tijdzone op Europa/Moscou instelden voor logging, wat mogelijk een aanwijzing geeft over de oorsprong van de operatie.

    Related Posts