Check Point hittade flera kampanjer med den nya formen av Qbot mellan mars och augusti 2020. I en av kampanjerna distribuerades Qbot av trojanen Emotet, vilket är en banktrojan som kan stjäla data genom att avlyssna nätverkstrafik. Detta fick företaget att misstänka att Qbot har ny distributionsteknik och ”command and control”-infrastruktur. 5 procent av de undersökta verksamheterna globalt påverkades av Emotet i juli 2020. 

Den senaste versionen av Qbot har utvecklats och har stor kapacitet. Trojanen kan nästan liknas vid en schweizisk armékniv med flera olika funktioner. 

Först skickas ett speciellt utformat e-postmeddelande till offret som innehåller en länk och en ZIP-fil med skadlig kod som kan köras i Windows. När datorn är infekterad aktiverar Qbot en speciell funktion som samlar alla e-posttrådar från Outlook och laddar upp dessa på en server. De stulna e-postmeddelandena används sedan i skadliga kampanjer och ger sken av att vara legitima. Check Point har sett trådar om covid-19, påminnelser om skattebetalning och jobbrekrytering.

– Vår forskning visar hur även äldre former av skadlig programvara kan uppdateras med nya funktioner för att göra dem till ett kontinuerligt farligt hot, säger Mats Ekdahl, säkerhetsexpert hos Check Point och fortsätter:

– De cyberkriminella bakom Qbot investerar mycket i dess utveckling för att möjliggöra datastöld i stor skala från verksamheter och privatpersoner. Vi har sett aktiva kampanjer som distribuerar Qbot direkt, liksom användningen av infrastrukturer från tredje part, som Emotet, för att sprida hotet ytterligare. Vi hoppas att våra iakttagelser och forskning om Qbot kommer få ett slut på hotet. Just nu rekommenderar jag starkt alla att titta på sina e-postmeddelanden noggrant för att hitta tecken på nätfiskeförsök – även när e-postmeddelandet verkar komma från en betrodd källa.