Cari lettori di Tecnogalaxy, oggi parleremo del trojan QBot che ritorna in circolazione dopo parecchi anni, rispetto agli anni passati la diffusione avviene attraverso e-mail di phishing per truffare le vittime sfruttando windows Installer come vettore d’attacco.

Questo malware è in circolazione dal 2007, nel corso di questi anni il suo creatore ha fatto in modo di utilizzare diverse forme e strategie, rimanendo un’insidiosa minaccia.

Pur essendo molto pericoloso non si è mai diffuso in modo massivo ma ha sempre sferrato attacchi ben precisi e mirati. I bersagli più colpiti dal malware sono sempre state grandi realtà aziendali, ovviamente capaci di sostenere un importante ritorno economico ai cybercriminali.

Nato nel 2007 ha mutato il suo nome tra cui (QuackBot) e (PinkslipBot), un altro punto forte che ha avuto in passato è stato quello di rubare password bancarie e informazioni personali, installando poi backdoor su sistemi compromessi utilizzati per distribuire beacon di Cobalt Strike e molto altro.

Un altro punto forte di questo malware è che QakBot è in grado di rilevare se lui stesso è in esecuzione in un ambiente virtuale, (tecnica utilizzata dalle soluzioni di sicurezza e anti-malware per identificare i virus). Grazie a questa funzione QakBot ha la capacità di interrompere le attività sospette o smettere di funzionare addirittura, proteggendosi dall’analisi e dal debug degli strumenti automatizzati.

Proprio grazie a questa sua natura mutevole e modulare ancora oggi lo rende difficile da identificare e lo rende uno dei più malware pericolosi in circolazione.

E’ in continuo aggiornamento , e vengono aggiunte nuove funzionalità e moduli per massimizzare le entrate dopo aver colpito le vittime.

La strategia di diffusione

Il rilascio dei payload dannosi per QBot è sempre stato tramite documenti di Microsoft Office (principalmente tramite le macro di Excel 4.0).

Attualmente sembra che il malware abbia cambiato la sua tecnica di diffusione, mantenendo come mezzo le email. All’interno di queste mail è presente un diverso allegato costituito da file compressi (ZIP protetti da password).

Questi file compressi contengono il famoso e ingannevole file di installazione utilizzato nei sistemi Windows: MSI Windows Installer.

Fortunatamente Microsoft ha implementato la funzionalità di blocco automatico delle macro VBA per i gli utenti di Office, in questo modo non è più automatica l’esecuzione delle minacce ma deve essere eseguita/abilitata manualmente dall’utente.

Come ci difendiamo da QBot?

L’arma principale come sempre è la conoscenza, già il parlare di questi tipi di attacchi alza in modo automatico l’asticella della sicurezza in modo inconsapevole.

Avere un sistema operativo sempre aggiornato con le ultime patch, avere un buon antivirus aggiornato  e conoscere le tecniche di phishing acquisiamo già un buon livello di sicurezza.

Non aprire link o file allegati se non siamo certi della loro provenienza, utilizzare l’autenticazione a più fattori , che siano tramite app, tramite token etc… dubitare sempre di mail ricevute non chiare al 100%.

Ti aspetto sul mio canale Youtube dove potrai trovare diversa documentazione.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo!

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.