حذرت لومين Lumen (وهي شركة أمريكية متخصصة في تقديم الحلول الرقمية) من برنامج حصان طروادة Qakbot ينتشر بشكل أساسي من خلال سرقة البريد الإلكتروني وإرسال مرفقات البريد الإلكتروني الضارة وعناوين URL المضمنة بالبريد الإلكتروني.

وقالت الشركة إن Qakbot (المعروف أيضًا باسم Pinkslipbot Qbot) باعتباره روبوت فدية، ينتشر عادةً من خلال اختطاف البريد الإلكتروني والهندسة الاجتماعية، وإسقاط الملفات الضارة التي تصيب مضيفي ويندوز Windows.

وأوردت أن حملات البريد العشوائي بدأت في أواخر ديسمبر 2022، واعتمد ممثلو التهديد على الاستغلال المستند إلى الماكرو في مستندات مايكروسوفت أوفيس Microsoft Office حتى بداية عام 2023، ومن ثم تحولوا بشكل افتراضي لمستخدمي أوفيس Office.

وأضافت أن الروبوتات حققت وصولًا أوليًا من خلال التغيير السريع لأنواع الملفات التي يتم تسليمها في حملات اختطاف البريد الإلكتروني المصممة اجتماعيًا، وحافظت على ميزة المهاجم من خلال الاستفادة من مجموعة واسعة من ملفات OneNote الضارة.

وأشار الباحثون إلى أنه بمجرد إصابة الضحية، يحصل المهاجمون على ما يحتاجون إليه سريعًا، ويحملون برامج ضارة إضافية حسب الرغبة، ويمكن لهم بعد ذلك استخدام الروبوت لأغراض شائنة أخرى أو بيعه لممثلين آخرين.

وأوصت الشركة عملاءها بتعزيز دفاعاتهم ضد التصيد الاحتيالي كمتجه أولي للوصول من خلال المراقبة الكاملة لموارد الشبكة، والتدريب على الهندسة الاجتماعية للموظفين.