Mã độc Qbot giả mạo thông báo của Windows Defender Antivirus để lừa người dùng

Mã độc Qbot, hay còn gọi là QakBot hoặc QuakBot, là một mã độc trên Windows chuyên đánh cắp thông tin tài khoản ngân hàng, thông tin đăng nhập tên miền Windows... Ngoài ra, nó còn có thể cung cấp quyền điều khiển hệ thống máy tính của nạn nhân từ xa cho các tin tặc khác để cài đặt ransomware.

Nạn nhân thường bị lây nhiễm Qbot qua các email lừa đảo chứa đường link độc hại hoặc các tập tin đính kèm nguy hiểm. Những kẻ đứng đằng sau Qbot thường gửi email giả vờ như hóa đơn, thông tin thanh toán ngân hàng, tài liệu quan trọng...

Thường thì Qbot sẽ dùng email spam để phát tán các tập tin Excel (.xls). Khi mở các tập tin này, người dùng sẽ bị dụ ấn vào nút "Enable Content" để xem nội dung của tập tin. Tuy nhiên, thực chất đây là nút kích hoạt macro mã độc cài đặt Qbot lên máy tính của nạn nhân.

Mã độc Qbot giả mạo thông báo của Windows Defender Antivirus để lừa người dùng
Mã độc Qbot giả mạo thông báo của Windows Defender Antivirus để lừa người dùng

Mới đây, Qbot đã phát triển phương thức dụ dỗ của chúng lên một tầm cao mới. Chúng gửi tới cho nạn nhân các mẫu tài liệu giả mạo từ những tổ chức đáng tin cậy hoặc từ chính hệ điều hành của bạn.

Một trong số các mẫu này là cảnh báo giả từ Windows Defender Antivirus rằng tài liệu này đã được mã hóa. Người dùng cần nhấn vào "Enable Editing" hoặc "Enable Content" để giải mã bằng "Microsoft Office Decryption Core".

Và đương nhiên, khi người dùng nhấp vào những nút trên, mã độc Qbot và Emotet sẽ được cài đặt trên máy của họ.

Với những người làm việc trong ngành an ninh mạng, quản trị viên IT hoặc những người hiểu biết về IT, cảnh báo trên có vẻ ngớ ngẩn. Nhưng với người dùng bình thường, nó đủ sức thuyết phục họ làm theo hướng dẫn và bị nhiễm Qbot.

Chủ Nhật, 18/10/2020 18:17
51 👨 563
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng