Новая вредоносная кампания по распространению ВПО QBot

Эксперты из Sophos рассказали о ВПО Qbot (QakBot), которое используется злоумышленниками для получения начального доступа к целевым устройствам. Qbot позволяет загружать дополнительные вредоносные программы на скомпрометированные машины, красть данные и выполнять другие нелегитимные действия. Одним из новых векторов распространения Qakbot стали вложения VBS или файлы LNK для OneNote в фишинговых электронных письмах. В качестве защиты Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением .one.


Выпущен скрипт для восстановления серверов VMware ESXi

Агентство CISA выпустило скрипт для восстановлении файлов, которые были зашифрованы в результате недавних атак программ-вымогателей ESXiArgs. По данным CISA на текущий момент около 3000 серверов VMware ESXi были подвержены вредоносной кампании. Представленный инструмент работает путем восстановления метаданных виртуальной машины с виртуальных дисков, которые не были подвержены шифрованию. Затем происходит попытка восстановления .vmdk файла. CISA отмечает, что сценарий не пытается удалить зашифрованные файлы конфигурации, а вместо этого создает новые, обеспечивающие доступ к виртуальным машинам.


ВПО Quasar RAT обнаружено в файлах частной HTS HPlus

Аналитическая группа ASEC обнаружила способ распространения ВПО Quasar RAT через частные HTS — системы торговли на бирже, предназначенные для домашнего использования. Quasar RAT позволяет похищать информацию из пользовательских сред и контролировать зараженные системы в режиме реального времени через удаленный рабочий стол. По сообщению ASEC, нелегальные финансово-инвестиционные компании распространяют нелегитимные HTS, такие как HPlus HTS. В предоставленном отчете специалисты ASEC раскрывают механизм работы Quasar RAT, найденный в образце ПО HPlus HTS. В качестве защиты от Quasar рекомендуется устанавливать подобное финансовое ПО только из проверенных источников.