Cover Image

Qbot ruba i tuoi thread di posta elettronica per infettare altre vittime

28 Agosto 2020 - Tempo di lettura: 13 minuti

Il trojan Qbot sta nuovamente rubando e-mail a catena di risposta che possono essere utilizzate per camuffare e-mail infestate da malware come parte di conversazioni precedenti in future campagne di spam dannoso.

Qbot (noto anche come QakBot) è un malware bancario e che ruba informazioni che infetta attivamente le vittime da più di dieci anni.

Una volta installato, Qbot tenterà di rubare le password, i cookie, le carte di credito, le e-mail e le credenziali dell'online banking archiviati dalle vittime.

Questo trojan è noto anche per scaricare e installare altro malware su computer compromessi, inclusi i payload ProLock Ransomware.

Da luglio 2020, Qbot è stato il malware preferito dalla famigerata botnet Emotet e ha visto un'ondata di nuove infezioni.

Qbot ruba le email della vittima per future campagne di malspam

Nel 2019, si scopre che QBot aveva iniziato a rubare i thread di posta elettronica delle vittime, utilizzandoli come parte di una campagna di phishing sensibile al contesto alla fine di marzo 2019.

Secondo un nuovo rapporto di Check Point, QBot continua a impiegare una tattica precedentemente utilizzata dal trojan bancario Gozi ISFB, il trojan URSNIF per il furto di informazioni e il trojan Emotet [1 , 2, 3]: il furto di thread di posta elettronica completi per utilizzare in attacchi a catena di risposte o "thread di posta elettronica dirottati".

Un attacco di phishing a catena di risposta si verifica quando gli autori delle minacce utilizzano un thread di posta elettronica rubato e quindi rispondono con il proprio messaggio e un documento dannoso allegato.

Dopo aver infettato le vittime, una delle attività dannose condotte da Qbot è rubare le e-mail dal client Outlook di un utente.

Queste e-mail rubate vengono quindi caricate sui server degli attori delle minacce Qbot per essere utilizzate in future campagne di spam mirate ad altre potenziali vittime.

Questo tipo di attacco rende la campagna di phishing più credibile, soprattutto quando viene utilizzata contro quelli del thread originale.

Check Point ha osservato che questi attacchi a catena di risposta contengono allegati ZIP con allegati VBS dannosi. Una volta eseguiti, questi script VBS scaricheranno il malware Qbot sul sistema e infetteranno l'utente.

"Durante il nostro monitoraggio della campagna malspam, abbiamo visto centinaia di URL diversi per ZIP dannosi cadere quando la maggior parte di loro erano siti WordPress compromessi", spiegano i ricercatori di Check Point.

L'utilizzo dell'e-mail rubata di una vittima contro altri destinatari crea un ciclo perpetuo di nuove vittime utilizzate contro altri per diffondere il malware.

Da quando è stato aggiunto questo modulo di furto di thread di posta elettronica, i ricercatori di Check Point hanno individuato thread di posta elettronica mirati e dirottati utilizzati in campagne in corso con argomenti relativi a solleciti di pagamento delle tasse, pandemia Covid-19 e offerte di lavoro.

Malware utilizzato in campagne altamente mirate

Gli autori di Qbot hanno anche aggiunto funzionalità insolite in un punto o nell'altro, così come un modo intelligente per il malware di assemblare se stesso da due metà crittografate per eludere il rilevamento quando viene depositato sul sistema di un bersaglio.

Il malware è noto anche per infettare altri dispositivi sulla stessa rete utilizzando exploit di condivisione di rete e attacchi di forza bruta altamente aggressivi che prendono di mira gli account amministratore di Active Directory.

Anche se è attivo da oltre un decennio, questo trojan bancario è stato utilizzato principalmente in attacchi altamente mirati contro entità aziendali che potrebbero fornire un maggiore ritorno sull'investimento.

A riprova di ciò, gli attacchi Qbot sono stati piuttosto rari nel tempo, con i ricercatori che ne hanno individuato uno nell'ottobre 2014, uno nell'aprile 2016 e un altro a metà maggio 2017Qbot è tornato l'anno scorso, essendo stato abbandonato come primo stadio o come secondo carico utile dalla banda di Emotet.

intopic.it