Malware Qakbot torna in campagna di phishing mirata alla sanità

Il malware QakBot è stato nuovamente diffuso tramite campagne di phishing, nonostante il botnet fosse stato bloccato dalle forze dell'ordine la scorsa estate. QakBot, alias Qbot, è nato come trojan bancario nel 2008. Da allora è stato utilizzato dagli sviluppatori di malware per rubare credenziali bancarie, cookie di siti web e carte di credito per commettere frodi finanziarie. Ad agosto, un'operazione internazionale di polizia, denominata Operazione Duck Hunt, era riuscita a fermare il malware, ma adesso sembra che il problema si sia ripresentato. Microsoft avverte ora che QakBot viene nuovamente distribuito in campagne di phishing fingendo di essere un'e-mail proveniente da un dipendente dell'IRS (l’agenzia governativa statunitense deputata alla riscossione dei tributi).

QakBot: come funziona l’attacco del "redivivo" malware

L’azienda di Redmond afferma di aver osservato per la prima volta l'attacco di phishing l'11 dicembre. Questo era incluso in una piccola campagna rivolta al settore della sanità. In allegato all'e-mail è presente un file PDF (finto elenco di invitati) con la dicitura “L'anteprima del documento non è disponibile”. Per visualizzare correttamente il documento, l'utente dovrà scaricare necessariamente il PDF. Facendo ciò, le vittime ignare scaricheranno un MSI che, una volta installato, avvia in memoria la DLL del malware Qakbot. Microsoft afferma che il DLL è stato generato lo stesso giorno in cui è iniziata la campagna di phishing. Inoltre, utilizza il codice della campagna 'tchk06' e server di comando e controllo su 45.138.74.191:443 e 65.108.218.24:443. Secondo l’azienda di Redmond, il payload consegnato è stato configurato con la versione mai vista prima 0x500.

Anche ricercatori di sicurezza Pim Trouerbach e Tommy Madjar hanno ha confermato che il payload Qakbot distribuito è nuovo, con alcune piccole modifiche. Secondo quanto riferito da Trouerbach ai colleghi di BleepingComputer, sono state apportate piccole modifiche alla nuova DLL QakBot, incluso l'uso di AES per decrittografare le stringhe anziché XOR nella versione precedente. Inoltre, sembra che questa nuova versione sia ancora in fase di sviluppo poiché contiene alcuni bug insoliti. Sebbene sia troppo presto per dire se Qbot avrà difficoltà a recuperare le sue dimensioni precedenti, gli amministratori e gli utenti devono prestare attenzione alle e-mail di phishing comunemente utilizzate per distribuire il malware. Per evitare di cadere vittima di phishing, la soluzione migliore è quella di evitare di scaricare file o cliccare su link presenti nel testo di e-mail provenienti da mittenti sconosciuti o sospetti.