تنشر برمجيات Qbot وEmotet الخبيثة: حملة تخريبية بالبريد الإلكتروني تنمو 10 أضعاف في شهر
المؤشر الاقتصادي – متابعات
كشفت كاسبرسكي عن ارتفاع كبير في نشاط حملة تخريبية عبر البريد الإلكتروني تنشر برمجيتي Emotet وQbot الخبيثتين. وتستهدف الحملة الشركات والمؤسسات، وارتفع عدد رسائل البريد الإلكتروني التخريبية من حوالي 3,000 في فبراير 2022 إلى ما يقرب من 30,000 في مارس. ومن المحتمل أن تكون الحملة مرتبطة بالنشاط المتزايد لشبكة Emotet الروبوتية.
ووجد خبراء كاسبرسكي نموًا كبيرًا في رسائل البريد الإلكتروني الخبيثة التي تستهدف شركات في بلدان مختلفة ضمن حملة منسقة تهدف إلى نشر برمجيتي Qbot وEmotet الخبيثتين، اللتين تنتميان إلى التروجانات المصرفية سيئة السمعة العاملة ضمن الشبكات الروبوتية، وبإمكانهم سرقة بيانات المستخدمين وجمع البيانات من الشبكات المؤسسية المصابة، وتوسعة انتشارهما في الشبكة، وتثبيت برمجيات فدية أو تروجانات أخرى على الأجهزة الشبكية. وتتمثل إحدى وظائف Qbot أيضًا في الوصول إلى رسائل البريد الإلكتروني وسرقتها.
واستمرت هذه الحملة لبضعة أشهر، لكن نشاطها ازداد بسرعة من نحو 3,000 رسالة بريد إلكتروني في فبراير 2022 إلى حوالي 30,000 في مارس. وجاءت تلك الرسائل باللغات الإنجليزية والفرنسية والهنغارية والإيطالية والنرويجية والبولندية والروسية والسلوفينية والإسبانية.
ويعترض مجرمو الإنترنت مراسلات قائمة بين أطراف ويرسلون إلى هذه الأطراف بريدًا إلكترونيًا يحتوي على ملف أو رابط يؤدي غالبًا إلى خدمة استضافة سحابية معروفة. ويكمن الهدف من البريد الإلكتروني في إقناع المستخدمين إما بتتبع الرابط وتنزيل مستند مؤرشف وفتحه باستخدام كلمة مرور مذكورة في البريد الإلكتروني، أو فتح ملف مرفق. ويذكر المهاجمون عادةً أن الملف يحتوي على بعض المعلومات المهمة، كعرض تجاري ما، لإقناع المستخدمين بفتحه أو تنزيله.
وتستطيع حلول كاسبرسكي الكشف عن المستند المؤرشَف بالصيغة HEUR:Trojan.MSOffice.Generic. ويُنزّل ويشغّل هذا المستند في معظم الحالات مكتبة Qbot، لكن خبراء كاسبرسكي لاحظوا أيضًا أن بعض نسخ هذا المستند تنزّل البرمجية الخبيثة Emotet بدلاً من Qbot.
