Dopo parecchi anni torna in circolazione il Trojan QBot. Un malware molto pericoloso che non si è mai diffuso in modo massivo ma ha sempre sferrato attacchi ben precisi e mirati. In questo articolo vediamo cos’è, come si diffonde e quali le strategie per difendersi.
Nell'articolo
Trojan QBot, una minaccia dal 2007
Questo malware è in circolazione dal 2007 e da allora rimane un’insidiosa minaccia. Nel corso di questi anni il suo creatore ha fatto in modo di utilizzare diverse strategie. Dal 2007 inoltre ha mutato il suo nome passando da QuackBot a PinkslipBot.
A differenza degli anni passati, la diffusione avviene oggi attraverso e-mail di phishing sfruttando windows Installer come vettore d’attacco.
I bersagli più colpiti dal malware sono sempre state grandi realtà aziendali, che rappresentano un importante ritorno economico per i cybercriminali.
Trojan QBot: uno dei malware più pericolosi in circolazione
Un altro punto forte che ha avuto in passato è stato quello di rubare password bancarie e informazioni personali, installando poi backdoor su sistemi compromessi utilizzati per distribuire beacon di Cobalt Strike e molto altro.
Un altro punto forte di questo malware è che QakBot è in grado di rilevare se lui stesso è in esecuzione in un ambiente virtuale, (tecnica utilizzata dalle soluzioni di sicurezza e anti-malware per identificare i virus). Grazie a questa funzione QakBot ha la capacità di interrompere le attività sospette o smettere di funzionare addirittura, proteggendosi dall’analisi e dal debug degli strumenti automatizzati.
Proprio grazie a questa sua natura mutevole e modulare ancora oggi lo rende difficile da identificare e lo rende uno dei più malware pericolosi in circolazione.
E’ in continuo aggiornamento e vengono aggiunte nuove funzionalità e moduli per massimizzare le entrate dopo aver colpito le vittime.
La strategia di diffusione di Trojan QBot
Il rilascio dei payload dannosi per QBot è sempre stato tramite documenti di Microsoft Office (principalmente tramite le macro di Excel 4.0).
Attualmente sembra che il malware abbia cambiato la sua tecnica di diffusione, mantenendo come mezzo le email. All’interno di queste mail è presente un diverso allegato costituito da file compressi (ZIP protetti da password).
Questi file compressi contengono il famoso e ingannevole file di installazione utilizzato nei sistemi.
Fortunatamente Microsoft ha implementato la funzionalità di blocco automatico delle macro VBA per i gli utenti di Office, in questo modo non è più automatica l’esecuzione delle minacce ma deve essere eseguita/abilitata manualmente dall’utente.
Come ci difendiamo da QBot?
L’arma principale come sempre è la conoscenza, già il parlare di questi tipi di attacchi alza in modo automatico l’asticella della sicurezza in modo inconsapevole.
Avere un sistema operativo sempre aggiornato con le ultime patch, avere un buon antivirus aggiornato e conoscere le tecniche di phishing acquisiamo già un buon livello di sicurezza.
Non aprire link o file allegati se non siamo certi della loro provenienza, utilizzare l’autenticazione a più fattori, che siano tramite app, tramite token etc… dubitare sempre di mail ricevute non chiare al 100%
Consulta anche altri articoli sull’argomento
Il Malware FFDroider ruba gli account social
Attenzione al Malware Escobar: ruba i dati bancari
Trickbot: un malware molto diffuso e pericoloso
Consulta altri canali
Il canale youtube Byte Yok
Aggiornati con i corsi di formazione dell’Istituto INFORMA
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.