Phần mềm độc hại hiện phổ biến đến mức toàn bộ “họ” của từng loại đang được tạo ra. Đây là trường hợp của Qbot, một dòng phần mềm độc hại được sử dụng để đánh cắp dữ liệu. Nhưng Qbot đến từ đâu, nó nguy hiểm như thế nào và bạn có thể tránh xa không?
Nguồn gốc của Qbot
Như thường xảy ra với phần mềm độc hại, Qbot (còn được gọi là Qakbot, Quakbot hoặc Pinkslipbot) chỉ được phát hiện khi được tìm thấy ngoài tự nhiên. Theo thuật ngữ an ninh mạng, “trong tự nhiên” đề cập đến một tình huống trong đó một dạng phần mềm độc hại lây lan giữa các thiết bị được nhắm mục tiêu mà không có sự cho phép của người dùng. Người ta cho rằng Qbot đã hoạt động ít nhất từ năm 2007, khiến nó trở thành một dạng phần mềm độc hại cũ hơn đáng kể so với nhiều chủng phổ biến hiện nay.
Nhiều dạng phần mềm độc hại từ những năm 2000 không còn được sử dụng nữa, đơn giản vì chúng không đủ hiệu quả để đối phó với công nghệ hiện đại. Nhưng Qbot nổi bật ở đây. Tại thời điểm viết bài này, Qbot đã hoạt động được ít nhất 16 năm, một tuổi thọ ấn tượng đối với một chương trình phần mềm độc hại.
Kể từ năm 2007, Qbot đã nhiều lần được quan sát sử dụng ngoài tự nhiên, mặc dù điều này cũng bị gián đoạn bởi các giai đoạn trì trệ. Trong mọi trường hợp, nó vẫn là một lựa chọn phổ biến của tội phạm mạng.
Qbot đã phát triển qua nhiều năm và được nhiều tin tặc sử dụng vì nhiều lý do. Qbot bắt đầu như một Trojan, một chương trình ẩn bên trong các ứng dụng dường như vô hại. Trojan có thể được sử dụng cho nhiều mục đích xấu, bao gồm đánh cắp dữ liệu và truy cập từ xa. Cụ thể hơn, Qbot theo đuổi thông tin đăng nhập ngân hàng. Vì lý do này, nó được coi là một Trojan ngân hàng.
Nhưng đây vẫn là trường hợp? Qbot hoạt động như thế nào ngày hôm nay?
Qbot hoạt động như thế nào?
Qbot được thấy ngày nay có nhiều dạng khác nhau, nhưng đáng chú ý nhất là một Trojan ăn cắp thông tin. Đúng như tên gọi, trojan infostealer được thiết kế để đánh cắp dữ liệu có giá trị, chẳng hạn như thông tin thanh toán, thông tin đăng nhập và chi tiết liên hệ. Chủ yếu, loại phần mềm độc hại Qbot chính này được sử dụng để đánh cắp mật khẩu.
Các biến thể Qbot cũng đã được quan sát thấy tiến hành ghi nhật ký bàn phím, móc nối quy trình và thậm chí tấn công hệ thống thông qua cửa hậu.
Kể từ khi được tạo ra vào những năm 2000, Qbot đã được sửa đổi để có khả năng mở cửa hậu, khiến nó trở thành một mối đe dọa lớn hơn nhiều. Cửa hậu về cơ bản là một cách không chính thức để xâm nhập vào hệ thống hoặc mạng. Tin tặc thường sử dụng cửa hậu để thực hiện các cuộc tấn công của chúng, vì nó giúp chúng xâm nhập dễ dàng hơn. “Backdoor.Qbot” là tên được đặt cho biến thể Qbot này.
Ban đầu, Qbot được phát tán qua phần mềm độc hại Emotet, một dạng Trojan khác. Ngày nay, Qbot thường lây lan qua các chiến dịch email độc hại thông qua các tệp đính kèm. Những chiến dịch như vậy liên quan đến việc gửi một lượng lớn thư rác tới hàng trăm, thậm chí hàng nghìn người nhận, với hy vọng rằng một số người dùng được nhắm mục tiêu sẽ tương tác.
Trong các tệp đính kèm email độc hại, Qbot thường được quan sát thấy dưới dạng tệp .zip chứa trình nhỏ giọt XLS chứa macro. Nếu người nhận mở tệp đính kèm độc hại, phần mềm độc hại có thể được triển khai trên thiết bị của họ mà họ thường không biết.
Qbot cũng có thể lây lan qua các bộ công cụ khai thác. Đây là những công cụ hỗ trợ tội phạm mạng triển khai phần mềm độc hại. Bộ công cụ khai thác có thể làm nổi bật các lỗ hổng bảo mật trong thiết bị, sau đó lạm dụng các lỗ hổng nói trên để giành quyền truy cập trái phép.
Nhưng mọi thứ không dừng lại ở việc đánh cắp mật khẩu và cửa hậu. Các nhà khai thác Qbot cũng đã đóng một vai trò lớn với tư cách là Nhà môi giới truy cập ban đầu. Đây là những tội phạm mạng bán quyền truy cập hệ thống cho các tác nhân độc hại khác. Trong trường hợp của các tác nhân Qbot, quyền truy cập đã được cấp cho một số nhóm lớn, bao gồm cả tổ chức dịch vụ ransomware REvil. Trên thực tế, nhiều chi nhánh ransomware khác nhau đã được quan sát bằng cách sử dụng Qbot để truy cập hệ thống ban đầu, khiến phần mềm độc hại này có một mục đích đáng lo ngại khác.
Qbot đã xuất hiện trong nhiều chiến dịch độc hại và được sử dụng để nhắm mục tiêu vào nhiều ngành công nghiệp. Các tổ chức chăm sóc sức khỏe, trang web ngân hàng, cơ quan chính phủ và công ty sản xuất đều là mục tiêu của Qbot. TrendMicro đã báo cáo vào năm 2020 rằng 28,1% mục tiêu của Qbot nằm trong lĩnh vực chăm sóc sức khỏe.
Tám ngành khác, cùng với nhiều ngành khác, cũng nằm trong phạm vi mục tiêu của Qbot, bao gồm:
- Chế tạo.
- Chính phủ.
- Bảo hiểm.
- Giáo dục.
- Công nghệ.
- Dầu khí.
- Vận tải.
- Bán lẻ.
TrendMicro cũng tuyên bố trong cùng một báo cáo rằng Thái Lan, Trung Quốc và Hoa Kỳ có số lượng phát hiện Qbot cao nhất vào năm 2020. Các địa điểm phát hiện phổ biến khác bao gồm Úc, Đức và Nhật Bản, vì vậy Qbot rõ ràng là một mối đe dọa toàn cầu.
Qbot đã tồn tại trong nhiều năm vì các chiến thuật tấn công và trốn tránh của nó đã liên tục phát triển để theo kịp các biện pháp an ninh mạng hiện đại. Sự đa dạng của Qbot cũng khiến nó trở thành mối nguy hiểm lớn đối với mọi người trên khắp thế giới, vì họ có thể bị nhắm mục tiêu theo nhiều cách khi sử dụng chương trình này.
Cách tránh phần mềm độc hại Qbot
Hầu như không thể tránh phần mềm độc hại 100 phần trăm thời gian. Ngay cả chương trình chống vi-rút tốt nhất cũng không thể bảo vệ bạn khỏi các cuộc tấn công vô thời hạn. Nhưng việc cài đặt phần mềm chống vi-rút trên thiết bị của bạn sẽ đóng một vai trò quan trọng trong việc giữ cho bạn an toàn trước phần mềm độc hại. Đây nên được coi là bước đầu tiên khi nói đến an ninh mạng. Vì vậy, những gì tiếp theo?
Vì Qbot thường lây lan qua các chiến dịch thư rác, điều quan trọng là bạn phải biết các dấu hiệu của thư độc hại.
Có rất nhiều dấu hiệu cảnh báo có thể khiến email bị coi là độc hại, bắt đầu từ nội dung. Nếu một địa chỉ mới đã gửi cho bạn một email chứa liên kết hoặc tệp đính kèm, bạn nên tránh xa cho đến khi biết chắc địa chỉ đó có thể tin cậy được. Có nhiều trang web kiểm tra liên kết khác nhau mà bạn có thể sử dụng để xác minh tính hợp pháp của một URL để bạn biết liệu nó có an toàn để nhấp vào hay không.
Các tệp đính kèm có thể nguy hiểm như các liên kết khi bị nhiễm phần mềm độc hại, vì vậy bạn cần thận trọng với chúng khi nhận email.
Có một số phần mở rộng tệp đính kèm có xu hướng được sử dụng để phát tán phần mềm độc hại, bao gồm .pdf, .exe, .doc, .xls và .scr. Mặc dù đây không phải là những phần mở rộng tệp duy nhất được sử dụng để lây nhiễm phần mềm độc hại, nhưng chúng là một trong những loại phổ biến nhất, vì vậy hãy để ý đến chúng khi bạn nhận được các tệp đính kèm trong email của mình.
Nếu bạn đã từng gửi một email từ một người gửi mới chứa đựng cảm giác khẩn cấp, bạn cũng nên cảnh giác. Tội phạm mạng có xu hướng sử dụng ngôn ngữ thuyết phục trong giao tiếp của chúng để khiến nạn nhân tuân theo.
Ví dụ: bạn có thể nhận được email thông báo rằng một trong các tài khoản mạng xã hội của bạn đã bị khóa do nhiều lần đăng nhập. Email có thể nhận được một liên kết mà bạn cần nhấp vào để đăng nhập vào tài khoản của mình và mở khóa, nhưng trên thực tế, đây là một trang web độc hại được thiết kế để lấy cắp dữ liệu bạn nhập (trong trường hợp này là thông tin đăng nhập của bạn). Vì vậy, nếu bạn nhận được email đặc biệt thuyết phục, hãy xem xét liệu bạn có đang bị thao túng để tuân thủ hay không, vì đây là khả năng rất thực tế.
Qbot là một dạng phần mềm độc hại chính
Việc tăng tính linh hoạt của chương trình phần mềm độc hại hầu như luôn khiến nó trở thành mối đe dọa lớn hơn và khi thời gian trôi qua, sự đa dạng hóa của Qbot đã khiến nó trở thành một thế lực nguy hiểm. Dạng phần mềm độc hại này có thể tiếp tục phát triển theo thời gian và thực sự không biết nó sẽ thích ứng với những khả năng nào tiếp theo.