La nuova versione di Qbot può dirottare i thread di posta elettronica

Qbot Latest Version Hijacks Email Threads

Il panorama delle minacce online è un luogo molto particolare. Cambia e cambia continuamente, e vediamo nuovi nomi entrare mentre quelli vecchi abbandonano ogni singolo giorno. Alla luce di tutto ciò, ci si potrebbe aspettare che una famiglia di malware apparsa più di dieci anni fa non sarebbe altro che un lontano ricordo. Come hanno sottolineato ieri i ricercatori di Check Point, tuttavia, il trojan bancario Qbot è la prova che non è sempre così.

Conosciuto anche come QakBot, è apparso per la prima volta nel 2008, ma dodici anni dopo sta ancora andando forte. Inizialmente, la funzionalità di Qbot ruotava attorno al furto di password bancarie e altri dati sensibili, ma come hanno sottolineato i ricercatori, nel corso degli anni ha acquisito una gamma così diversificata di funzionalità aggiuntive, che a volte viene definito il "coltellino svizzero" del malware . Ciò non significa che gli autori di Qbot si fermeranno qui, però. In effetti, lo scopo del rapporto di Check Point era di dettagliare gli aggiornamenti più recenti del trojan.

Puoi insegnare nuovi trucchi a un vecchio bot

Tra marzo e giugno, Qbot era nel mezzo di una grande campagna, ma poi ha smesso di diffondersi e gli esperti hanno pensato che gli operatori del malware gli avessero dato una pausa per aggiungere alcune modifiche e aggiustamenti. Si aspettavano che l'aggiornamento richiedesse un po 'più di tempo, ma alla fine di luglio, il famigerato trojan Emotet ha avviato una massiccia campagna di malspam e molti dei messaggi dannosi contenevano una nuova versione di Qbot. In pochi giorni, gli operatori di Qbot hanno rilasciato un'altra versione, con ancora più nuove funzionalità. È una grande campagna e, grazie a un nuovo modulo, gli hacker vogliono assicurarsi che gran parte delle persone che ricevono l'email finisca infettata dal malware.

Per la maggior parte, l'infezione è praticamente un'operazione Qbot standard. La vittima riceve un'e-mail con un collegamento a un archivio ZIP ospitato su un sito Web WordPress compromesso. All'interno dello ZIP l'utente trova un file che, se aperto, attiva l'infezione. Fino ad aprile, gli operatori di Qbot inserivano documenti di Word con macro all'interno degli ZIP dannosi, ma da allora sono passati a Visual Basic Scripts (VBS). VBS contatta uno dei siti di distribuzione e scarica il payload iniziale, che crea le premesse per il vero trojan. Il payload iniziale esegue un paio di controlli per assicurarsi che non sia in esecuzione in un ambiente sandbox e apporta alcune modifiche al registro per ottenere la persistenza. Infine, quando è sicuro che è sicuro continuare, distribuisce il payload Qbot principale.

Gli aggiornamenti più recenti non hanno apportato grandi cambiamenti. Qbot può ancora rubare password, dettagli della carta di credito e altre informazioni sensibili. Può accedere al conto bancario della vittima ed effettuare transazioni per suo conto e può anche installare altri ceppi di malware se richiesto.

Gli esperti hanno detto di aver visto alcuni altri moduli che aiutano con il movimento laterale attraverso una rete, ma hanno deciso di non approfondirli perché hanno visto una nuova funzionalità che era più degna di nota.

Qbot può dirottare le tue conversazioni email

Il nuovo modulo è progettato per rubare interi thread dai client di posta Outlook della vittima. Questa è già una cattiva notizia perché sebbene gli esperti abbiano messo in guardia sui pericoli della condivisione di informazioni sensibili tramite e-mail, le persone continuano a riempire i loro messaggi con dati che possono causare danni estremi se cadono nelle mani sbagliate.

Tuttavia, gli hacker non stanno rubando i thread di posta elettronica delle persone perché vogliono le informazioni al loro interno. Lo stanno facendo in modo che possano rispondere per conto della vittima che è già stata infettata da Qbot e indurre anche l'altro partecipante alla conversazione a installare il malware. Gli esperti di Check Point hanno affermato di aver visto i criminali dirottare i thread di posta elettronica e inviare collegamenti dannosi nei messaggi che ruotano attorno a qualsiasi cosa, dalla pandemia COVID-19 ai solleciti di pagamento delle tasse.

Questa è una delle mosse più intelligenti degli hacker. Le persone ora sono abbastanza diffidenti nei confronti delle e-mail che distribuiscono malware e tendono a essere un po 'più attente ai messaggi che trovano nelle loro caselle di posta. Se i collegamenti provengono da una persona che conoscono e con cui hanno già comunicato, tuttavia, è molto più probabile che gli obiettivi facciano clic su di essi.

L'ultimo aggiornamento di Qbot non modifica la funzionalità principale del malware, ma nonostante ciò, mostra che i suoi operatori non ci hanno rinunciato. Sebbene abbia ormai più di un decennio, è più formidabile che mai.

August 28, 2020

Lascia un Commento