חוקרים ישראלים: סוס טרויאני רדום חזר לפעילות והוא חזק ומסוכן מתמיד
דף הבית >> חדשות עולם הסייבר >> חוקרים ישראלים: סוס טרויאני רדום חזר לפעילות והוא חזק ומסוכן מתמיד
חוקרים ישראלים: סוס טרויאני רדום חזר לפעילות והוא חזק ומסוכן מתמיד
מאת: מערכת Telecom News, 2.9.21, 11:25
הגורמים העומדים מאחורי התוכנה הזדונית עדכנו ושיפרו את הרוגלה והשקיעו בפיתוח יכולות חדשות ומתוחכמות, שטרם נראו בעולם הסוסים הטרויאניים.
חוקרים ישראלים ממעבדות המחקר של חברת הסייבר קספרסקי (Kaspersky) זיהו בחודשים האחרונים עלייה חריגה בפעילות של "QakBot" - סוס טרויאני, שתוקף ארגונים פיננסיים ובעיקר בנקים.
ב-7 החודשים הראשונים של 2021 נרשמה עלייה של 65% בפעילות של QakBot לעומת התקופה המקבילה אשתקד, ונרשמו מעל 17 אלף מתקפות שלו ברחבי העולם.
QakBot התגלה לראשונה ב-2007 ותקף אינספור ארגונים לאורך שנות פעילותו, בעיקר בתחומי הפיננסים. על רקע חזרתו לפעילות מוגברת בחודשים האחרונים זיהו החוקרים, שהגורמים העומדים מאחורי QakBot עדכנו ושיפרו את התוכנה הזדונית והשקיעו בפיתוח יכולות חדשות ומתוחכמות, שטרם נראו בעולם הסוסים הטרויאניים. הגרסה החדשה של QaKBot הפכה לדבריהם לאחד מכלי התקיפה המסוכנים ביותר מסוגו.
סוסים טרויאנים מדביקים בד"כ את המחשב של הקורבן ומאפשרים לתוקפים לגנוב כספים מחשבונות בנק או ארנקים דיגיטליים. היכולות ה"קלאסיות" שלהם כוללות יכולת לצותת להקשות מקלדת, לגנוב קבצי קוקיז וסיסמאות ולגנוב פרטי login של המשתמשים.
כעת מתברר, שאחת מהיכולות החדשות QakBot היא לזהות ניסיונות ניטור של כלי סייבר ולהיכנס לסוג של "תרדמת".
ברגע שהרוגלה מזהה, שמתבצע ניסיון לניטור והפסקת הפעילות שלה (בין אם מדובר בניסיון של מערכת אבטחה אוטומטית או ניסיון ניטור של מומחה סייבר חיצוני), הרוגלה מסוגלת לצמצם את פעילותה ואף להפסיקה לגמרי, עד כדי כך, שהיא לא תזוהה כלל במהלך הליך הניטור, אפילו שבפועל היא נמצאת על גבי המכשיר המותקף.
יכולת חדשה נוספת, שזיהו החוקרים, היא לגנוב כתובות דוא"ל מהמחשב המותקף, כדי שתשמשנה מאוחר יותר את התוקפים לתקיפות הנדסה חברתית או פישינג, ולנסות להרחיב את היקף פעילותה ע"י ניצול רשימת אנשי הקשר של המחשב המותקף.
חיים זיגל, מנתח רוגלות במעבדות קספרסקי: "QakBot, ככל הנראה, לא יפסיק את פעילותו בקרוב. רוגלה זו מתעדכנת באופן תדיר, והיא ממשיכה להרחיב את ארסנל היכולות שלה עם טכנולוגיות חדשות כדי לאפשר לתוקפים למקסם רווחים ולגנוב מידע רגיש ופרטים אישיים.
בעבר, ראינו את QakBot מופץ באמצעות רשת רוגלות הסייבר Emotet, שהורדה מפעילות בתחילת השנה, אך יחד עם זאת - ולאור העלייה הברורה בהיקף ההתקפות של QakBot - נראה, שהרוגלה מצאה דרך חדש להפיץ את עצמה ברחבי העולם".