FURTO DI CREDENZIALI

Qbot, il trojan ora sfrutta Windows Installer come vettore d’attacco: i consigli per difendersi

È stata identificata una nuova variante del trojan bancario Qbot che utilizza e-mail di phishing come strategia di diffusione e sfrutta Windows Installer come vettore d’attacco. Ecco tutti dettagli e i consigli per prevenire la minaccia

12 Apr 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

L’ormai nota botnet Qbot sperimenta un nuovo metodo di diffusione del proprio payload dannoso contenente il malware: sfruttare archivi ZIP protetti da password con all’interno pacchetti MSI Windows Installer, distribuiti mediante e-mail di phishing.

Una volta attivo, Qbot è in grado di spiare le nostre attività sul sistema, tracciare le operazioni informatiche, rubare le credenziali bancarie e informazioni personali.

La politica criminale interna del trojan Qbot

Finora, il rilascio dei payload dannosi per Qbot era sempre stato affidato ai documenti di Microsoft Office contenenti macro pericolose. Adesso, per la prima volta, sembra che gli attori della minaccia affrontino un cambio di strategia in questo senso.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

Le e-mail di phishing rimangono sempre al centro dell’attenzione, però ora possono arrivare presentando all’interno non solo il classico file Excel del tutto fraudolento, che abbiamo imparato a riconoscere, con il quale appunto si distribuiva il malware. Ora all’interno presentano un allegato differente costituito da file di archivio compressi con all’interno il famoso file di installazione utilizzato nei sistemi Windows: MSI Windows Installer.

Tale contenuto sarà sempre in linea con l’e-mail di phishing (anch’essa appunto fraudolenta) che imiterà fedelmente il software che si propone di procedere ad installare.

Gli esperti di sicurezza ritengono che questo possa essere una risposta diretta all’annuncio di Microsoft di febbraio nel quale si comunicavano azioni per interrompere la trasmissione di malware tramite le macro di VBA Office dopo aver disattivato le macro di Excel 4.0 (XLM) per impostazione predefinita a gennaio.

All’inizio di aprile 2022, Microsoft ha iniziato a implementare la funzionalità di blocco automatico delle macro VBA per gli utenti di Office per Windows, a partire dalla versione 2203 nel branch di sviluppo attuale e infine anche in altre release e addirittura in versioni precedenti.

“Nonostante i diversi metodi di posta elettronica utilizzati dagli aggressori per fornire Qakbot, queste campagne hanno in comune l’uso di macro dannose nei documenti di Office, in particolare le macro di Excel 4.0”, ha affermato Microsoft in una nota di dicembre. “Va notato che, mentre le minacce utilizzano le macro di Excel 4.0 come tentativo di eludere il rilevamento, questa funzione è ora disabilitata per impostazione predefinita e quindi richiede agli utenti di abilitarla manualmente affinché tali minacce vengano eseguite correttamente”.

Rimane dunque a questo punto plausibile il cambio di passo da parte degli attori dietro la botnet Qbot, proprio a causa dell’indisponibilità, sempre maggiore, di macro che possano trasportare il loro payload.

Questo cambiamento applicato da Microsoft, come afferma Bleeping Computer, contiene un enorme miglioramento della sicurezza per gli utenti di Office, poiché le macro VBA pericolose nascoste nei documenti di Office vengono comunemente utilizzate durante le campagne di phishing per diffondere vari ceppi di malware, tra cui Qbot, TrickBot, Dridex ed Emotet.

La storia e l’evoluzione di Qbot

Considerata una delle operazioni criminali più storiche, attivo dal 2007, Qbot (che ha rivestito anche diverse maschere: Qakbot, Quakbot e Pinkslipbot ) è stato utilizzato per rubare password bancarie, informazioni personali e dati finanziari, nonché per installare backdoor su sistemi compromessi e distribuire beacon di Cobalt Strike.  

Va ricordato che Qbot non si è mai diffuso massivamente ma ha finora sfruttato diffusioni precisamente mirate, colpendo per lo più grandi realtà aziendali, capaci di sostenere un importante ritorno economico agli operatori.

Nell’oltre il decennio di attività Qbot è stato utilizzato anche da diverse bande di ransomware, tra cui REvil, PwndLocker, ProLock, Egregor e MegaCortex.  

Avendo una storia abbastanza fitta di evoluzioni e cambiamenti tra varie varianti dello stesso malware, Qbot è diventato un elemento difficile da identificare a livello massivo, per poterne calcolare l’entità dell’impatto.

In questo caso, prima ancora di ragionare in termini di soluzioni correttive da applicare post attacco, potrebbe essere rilevante giocare d’anticipo. Prevenire infatti queste infezioni, anche solamente conoscendole, e monitorandone le evoluzioni, può essere utile sicuramente a migliorare in maniera significativa la sicurezza di una rete aziendale.

Prevenire dal punto di vista IT aziendale

Nel caso specifico, così come abbiamo imparato a guardare con sospetto tutte le email non attese che riportassero allegati Office (come Excel, sotto forma di false fatture), dobbiamo ora imparare a dubitare anche dei pacchetti di installazione software, che eventualmente dovessimo ricevere via e-mail, riportando magari un falso aggiornamento per un software che realmente utilizziamo oppure il consiglio per la prova gratuita di un nuovo software che magari stiamo cercando.

Verificare sempre i mittenti delle email non attese che riceviamo, non curandoci solamente della veridicità dell’aspetto grafico, il quale quasi sempre sarà in linea con l’originale effettivo formato di una data software house che sviluppa l’applicativo, oppure con la società di spedizione che “ci offre un nuovo servizio” tramite installer.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4