L’attività criminale relativa alle operazioni portate a termine dal malware Qakbot ha registrato, nell’ultimo semestre, un apice nella sua crescita. La sua diffusione è severamente monitorata da ricercatori e società di sicurezza informatica e proprio grazie a questi controlli costanti i ricercatori di Zscaler hanno rilevato le nuove attività, caratterizzate da tecniche di attacco ancora più evolute.
Qakbot, il malware che ruba gli accessi aziendali e svuota il conto in banca: tutti i dettagli
Indice degli argomenti
L’evoluzione delle tecniche di Qakbot
Attivo dal 2008, in questi 14 anni Qakbot è stata una minaccia dal tono prevalente. I ricercatori hanno identificato che, in quanto tale, sta continuamente evolvendo soprattutto per cercare di eludere quanto più possibile i controlli di rilevamento.
Nello specifico, recentemente si è notato come gli attaccanti stiano implementando tecniche di offuscamento utilizzando archivi ZIP, nomi di file convincenti ed estensioni Excel (XLM) 4.0 per far scaricare alle vittime gli allegati dannosi, di una e-mail di phishing.
Anche nel codice del malware stesso, vengono apportate delle modifiche sempre al fine di eludere il rilevamento, come per esempio l’introduzione degli URL multipli per distribuire i payload malevoli o estensioni di file sconosciute come .OCX, .gypo .dat.
Nell’immagine sottostante l’andamento degli ultimi sei mesi delle attività di Qakbot, come monitorato dai dati forniti da Zscaler.
Per la maggior parte degli attacchi operati da questo malware, noto anche come QBot, Pinkslipbot e QuackBot, la catena di attacco inizia sempre con una e-mail di phishing, con allegato un file da scaricare, realizzato mediante modelli esistenti di Microsoft Office, ad esempio fatture o ordini di vendita.
La vittima viene invitata ad abilitare le macro, a questo punto una funzione apposita (URLDownloadToFile) scaricherà il payload malevolo su C:ProgramData del computer preso di mira e sempre mediante macro, viene lanciato ed eseguito utilizzando regsvr32.exe di Windows.
Igiene digitale e IoC come mitigazione
Per mitigare questo attacco, ormai su larga scala e molto diffuso, tra le azioni utili evidenziamo una corretta informazione sulla lettura delle e-mail in entrata, soprattutto quelle non attese e provenienti da fonti sconosciute all’organizzazione.
Questo è fattibile con una corretta formazione del personale, che sia in grado di discernere e di verificare la legittimità di una e-mail ricevuta (anche analizzandone l’indirizzo del mittente nel dettaglio).
Inoltre, le ricerche specialistiche come questa di Zscaler, forniscono ingenti dettagli utili a tutti gli amministratori di sistema. Infatti, uno strumento molto utile di mitigazione della minaccia Qakbot (e malware in generale), è l’aggiornamento costante della definizione dei rilevamenti sul software di protezione adottato.
Ciò è possibile anche implementando di volta in volta, i nuovi indicatori di compromissione che i ricercatori rilasciano pubblicamente. Nella ricerca in questione, per esempio, vengono rilasciati indirizzi IP, URL utilizzati per diffondere i payload, Hash dei file compromessi e nomi di file maggiormente adoperati.
Tutti indicatori che possono essere inseriti al fine di aumentare la rilevazione di questa minaccia.
