QBot, il malware che ruba dati finanziari e riservati: tecniche di attacco ed evoluzione - Cyber Security 360

L'ANALISI TECNICA

QBot, il malware che ruba dati finanziari e riservati: tecniche di attacco ed evoluzione

Qbot è un malware classificato originariamente come banking trojan che si è evoluto nel tempo per includere nuove tecniche di infezione e persistenza oltre a funzionalità che lo rendono difficile da rintracciare. Il suo obiettivo è il furto di dati bancari e informazioni riservate. Ecco tutti i dettagli

23 Set 2021
D
Emanuele De Lucia

Director of Cyber Intelligence presso Cluster25

QBot è un malware modulare appartenente originariamente alla famiglia dei banking trojan ed è noto anche con il nome di Qakbot.

È attivo da almeno il 2007 ed è progettato per rubare dati finanziari ed informazioni dai sistemi che colpisce.

Nel corso del tempo questo malware si è evoluto per includere nuove tecniche di infezione e persistenza oltre a funzionalità anti-reversing/debugging.

Analisi del malware: metodologie e strumenti per capire come funziona

Come si propaga l’infezione da Qbot

Le infezioni da Qbot derivano tipicamente da campagne di phishing via email operate ad alto livello di diffusione. È bene notare che sebbene alcune di queste campagne forniscano direttamente varianti Qbot come primo stadio di infezione, esso può altresì essere rilasciato come payload terminale di una più complessa kill-chain multi-stadio.

Nella maggior parte dei casi, le email vettore di infezioni vengono recapitate con documenti Microsoft Office allegati (Word o Excel) e viene chiesto alle vittime di aprirli facendo leva su di un fantomatico importante contenuto che essi conterrebbero (come “Avvisi di Giacenza” o “Pagamento”, “Scadenze” e via dicendo).

La meccanica di diffusione include, talvolta, lo sfruttamento di caselle di posta elettronica compromesse.

Qbot: le principali caratteristiche tecniche

Le primarie funzioni che QBot può operare all’interno dei sistemi colpiti sono le seguenti:

  1. generale raccolta di informazioni e keylogging;
  2. escalation dei privilegi e persistenza;
  3. raccolta credenziali di autenticazione;
  4. Web Inject mirato alla raccolta di credenziali di autenticazione a servizi bancari.

Una volta performate tali operazioni, il malware comunica con i propri centri di comando e controllo al fine di salvare in remoto le informazioni acquisite.

A tale scopo, solitamente ogni singola variante possiede hardcoded una lista di ca 150 indirizzi IP con i quali comunica mediante richieste HTTPS POST attraverso dati codificati in Base64.

QBot è molto ben posizionato all’interno della matrice dei malware di comodità e offre al proprio parco di affiliati diversi tool e funzionalità come, per esempio, un framework modulare composto da builder per documenti malevoli da allegare alla campagne malspam, loader firmati e payload con ratei di rilevamento molto bassi che generalmente permettono una buona percentuale di successo in relazione alla singola compagna ed al numero di macchine compromesse.

Ad oggi, QBot è il malware di comodità maggiormente diffuso per numero di infezioni attive (seguito da TrickBot), come mostrato nel seguente grafico, in comparazione ad altre potenziali minacce in base al totale delle vittime acquisite.

La diffusione del malware Qbot (Fonte: Cluster25 Zombies Monitor Module).

Rispetto all’attività rilevata per questa famiglia di malware nel 2020, il numero di infezioni nel primo semestre 2021 risulta incrementato di oltre il 50%. Questo dato oltre al numero assoluto di hit globali rilevate colloca QBot fra le minacce più in rapida ascesa del momento.

Le relazioni con gli altri attori di minaccia

L’ecosistema “QBot” è noto per avere relazioni con molteplici attori di minaccia e di essere molto ben inserito all’interno dell’underground digitale.

Fra le combinazioni potenzialmente più distruttive potremmo annoverare quelle con i diversi gruppi ransomware che nel corso del tempo hanno sfruttato infezioni QBot per diffondere i loro payload. Fra questi vi sono stati LockerGoga, MegaCortex, Maze, ProLock ed Egregor passando spesso per impianti di primo o secondo stadio come CobaltStrike.

In tempi recenti è stato possibile osservare e correlare QBot anche ad un altro sindacato ransomware, noto con il nome di REvil. Questi due gruppi hanno probabilmente cooperato nelle intrusioni ai danni di FUJIFILM Corporation e JBS Foods Inc. nel recente passato in quanto, in entrambi i casi, QBot è stato osservato essere il precursore di successivi impianti che hanno in ultimo chiuso la propria kill-chain con il suddetto ransomware.

REvil, ecco cosa può succedere dopo la “scomparsa” del gigante del ransomware

Conclusioni

Le prime varianti di QBot sono operative da moltissimo tempo. Questa famiglia malware viene costantemente mantenuta ed aggiornata per includere diverse payload e modifiche utili a facilitarne l’adozione da parte di operatori anche non troppo esperti.

La strategia dei suoi gestori è quella di diffondere il proprio “prodotto” quanto più possibile e generare dunque ricavi sempre maggiori.

Questi provengono principalmente da tre canali:

  1. sfruttando direttamente le PII acquisite dalla propria rete di vittime;
  2. monetizzando gli accessi e le informazioni acquisiste in mercati illeciti o mediante dirette interazioni con altri attori di minaccia;
  3. cooperando attivamente con diversi gruppi ransomware.

Quest’ultimo punto risulta di particolare interesse poiché accresce moltissimo la potenziale minaccia rappresentata da questo malware.

QBot tende ad interagire con il maggior numero possibile di gruppi di ransomware contrariamente alla maggioranza degli operatori botnet che tendono a stringere alleanze chiuse ed esclusive.

Questo significa che una infezione da parte di QBot potrebbe essere attenzionata da diversi gruppi criminali ed essere dunque precursore di diversi potenziali incidenti ransomware.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5