MALWARE

Qakbot si evolve e introduce nuove tecniche di offuscamento: ecco come difendersi

Torna sulla scena del cyber crimine Qakbot, una minaccia molto diffusa ma altrettanto seguita dai ricercatori di sicurezza di tutto il mondo: da oltre 14 anni il malware si evolve costantemente e adesso presenta ulteriori novità nelle tecniche utilizzate per eludere le protezioni. Ecco tutti i dettagli

13 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

L’attività criminale relativa alle operazioni portate a termine dal malware Qakbot ha registrato, nell’ultimo semestre, un apice nella sua crescita. La sua diffusione è severamente monitorata da ricercatori e società di sicurezza informatica e proprio grazie a questi controlli costanti i ricercatori di Zscaler hanno rilevato le nuove attività, caratterizzate da tecniche di attacco ancora più evolute.

Qakbot, il malware che ruba gli accessi aziendali e svuota il conto in banca: tutti i dettagli

L’evoluzione delle tecniche di Qakbot

Attivo dal 2008, in questi 14 anni Qakbot è stata una minaccia dal tono prevalente. I ricercatori hanno identificato che, in quanto tale, sta continuamente evolvendo soprattutto per cercare di eludere quanto più possibile i controlli di rilevamento.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

Nello specifico, recentemente si è notato come gli attaccanti stiano implementando tecniche di offuscamento utilizzando archivi ZIP, nomi di file convincenti ed estensioni Excel (XLM) 4.0 per far scaricare alle vittime gli allegati dannosi, di una e-mail di phishing.

Anche nel codice del malware stesso, vengono apportate delle modifiche sempre al fine di eludere il rilevamento, come per esempio l’introduzione degli URL multipli per distribuire i payload malevoli o estensioni di file sconosciute come .OCX, .gypo .dat.

Nell’immagine sottostante l’andamento degli ultimi sei mesi delle attività di Qakbot, come monitorato dai dati forniti da Zscaler.

Per la maggior parte degli attacchi operati da questo malware, noto anche come QBot, Pinkslipbot e QuackBot, la catena di attacco inizia sempre con una e-mail di phishing, con allegato un file da scaricare, realizzato mediante modelli esistenti di Microsoft Office, ad esempio fatture o ordini di vendita.

La vittima viene invitata ad abilitare le macro, a questo punto una funzione apposita (URLDownloadToFile) scaricherà il payload malevolo su C:ProgramData del computer preso di mira e sempre mediante macro, viene lanciato ed eseguito utilizzando regsvr32.exe di Windows.

Igiene digitale e IoC come mitigazione

Per mitigare questo attacco, ormai su larga scala e molto diffuso, tra le azioni utili evidenziamo una corretta informazione sulla lettura delle e-mail in entrata, soprattutto quelle non attese e provenienti da fonti sconosciute all’organizzazione.

Questo è fattibile con una corretta formazione del personale, che sia in grado di discernere e di verificare la legittimità di una e-mail ricevuta (anche analizzandone l’indirizzo del mittente nel dettaglio).

Inoltre, le ricerche specialistiche come questa di Zscaler, forniscono ingenti dettagli utili a tutti gli amministratori di sistema. Infatti, uno strumento molto utile di mitigazione della minaccia Qakbot (e malware in generale), è l’aggiornamento costante della definizione dei rilevamenti sul software di protezione adottato.

Ciò è possibile anche implementando di volta in volta, i nuovi indicatori di compromissione che i ricercatori rilasciano pubblicamente. Nella ricerca in questione, per esempio, vengono rilasciati indirizzi IP, URL utilizzati per diffondere i payload, Hash dei file compromessi e nomi di file maggiormente adoperati.

Tutti indicatori che possono essere inseriti al fine di aumentare la rilevazione di questa minaccia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5