Новые имейл-атаки QBot используют PDF и WSF для доставки пейлоада

Новые имейл-атаки QBot используют PDF и WSF для доставки пейлоада

Новые имейл-атаки QBot используют PDF и WSF для доставки пейлоада

С начала апреля в «Лаборатории Касперского» фиксируют рост объемов спама, нацеленного на засев трояна QBot, он же QakBot, QuackBot и Pinkslipbot. Вредоносные сообщения имитируют деловую переписку и оформлены на разных языках.

Единственная цель этих фейков — заставить получателя открыть прикрепленный PDF-файл, чтобы запустить цепочку заражения QBot. Потенциальную жертву могут попросить прислать всю документацию по приложенному заявлению или посчитать сумму контракта по смете расходов из вложения.

И контакт получателя, и имя отправителя злоумышленники берут из писем, ранее украденных зловредом, однако адрес отправителя фальшивки не всегда совпадает с адресом реального участника переписки.

Содержимое вложенного документа имитирует уведомление Microsoft Office 365 или Microsoft Azure с предложением нажать кнопку Open для просмотра. Если получатель последует подсказке, на машину со стороннего сервера загрузится запароленный ZIP-архив.

 

В нем содержится файл WSF с обфусцированным сценарием на JScript (Microsoft-реализация стандарта ECMAScript). Этот файл запускает PowerShell-скрипт, загружающий целевую DLL (QBot) с удаленного сервера.

Имя библиотеки представлено случайной последовательностью букв и каждый раз изменяется. Ссылки для скачивания вшиты в код; вредонос поочередно перебирает их, проверяя размер загруженного файла. Если тот больше или равен 100 000 байт, QBot запускается на исполнение с помощью rundll32, в противном случае скрипт ждет четыре секунды и переходит по следующей ссылке.

 

Конфигурационные данные трояна включают список из более 100 IP-адресов, по которым можно подключиться к командному серверу. Большинство из них — это зараженные системы, работающие как прокси в пределах ботнета.

Функциональные возможности зловреда, по данным Kaspersky, за два года почти не изменились. Бот по-прежнему способен извлекать пароли и куки из браузеров, воровать письма из почтового ящика, перехватывать трафик, открывать удаленный доступ, быстро распространяться по сети, загружать дополнительные файлы, в том числе CobaltStrike и шифровальщиков.

Первые вредоносные письма в рамках выявленной имейл-кампании появились 4 апреля; в настоящее время активность злоумышленников снизилась, но не угасла. Чаще прочих от новых атак QBot страдают жители Германии (27,07% попыток заражения), Аргентины (12,48%) и Италии (8,94%). США и Россия по этому показателю пока занимают 6 и 7 место (3,19 и 3,09% соответственно).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Китайские разработки в сфере ИИ почти догнали американские

По итогам 2024 года китайские разработки в сфере искусственного интеллекта практически сравнялись по производительности с американскими. Еще в 2023 году отставание китайских продуктов от решений из США измерялось двузначными показателями.

О достижении паритета сообщила англоязычная китайская газета South China Morning Post со ссылкой на результаты исследования Стэнфордского университета.

Ключевым результатом, по мнению автора статьи Бена Цзяна, стали итоги тестирования в рамках Massive Multitask Language Understanding (MMLU). В 2023 году отставание китайских моделей составляло более 17%, тогда как в 2024 году оно сократилось до 0,3%.

Согласно отчету Стэнфорда, китайские компании, такие как Alibaba Group Holding, ByteDance, Tencent Holdings, DeepSeek и Zhipu AI, уверенно вошли в число мировых лидеров в области ИИ. При этом китайские модели демонстрируют высокую производительность при меньших вычислительных затратах, что привлекает внимание международного сообщества.

Наибольшую популярность на мировом рынке получили DeepSeek V3 — благодаря низким требованиям к ресурсам, а также серия Qwen, показавшая высокую эффективность в решении специализированных задач. Однако, как выяснилось, DeepSeek достаточно легко поддается манипуляциям, в результате чего может быть использован для создания вредоносного ПО, включая кейлоггеры и программы-вымогатели.

Для сравнения, проект Llama 4 от Meta (признана в России экстремистской организацией и запрещена) оказался в центре скандала, связанного с манипуляцией результатов тестирования.

Еще в 2023 году Китай вышел на первое место в мире по числу научных публикаций, посвящённых ИИ. На его долю пришлось 23,2% всех публикаций против 15,2% в странах ЕС и 9,2% в Индии. По количеству патентов отрыв еще более значителен: почти 70% — в три раза больше, чем у США.

Одним из потенциальных рисков аналитики называют сокращение инвестиций в китайские стартапы со стороны частных инвесторов. Это связано с запретом американских властей на вложения в китайские ИИ-компании. В результате объем финансирования отрасли в США более чем в 12 раз превысил китайский.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru