Il temibile malware QakBot, la cui infrastruttura è stata smantellata da un’operazione internazionale, sembra ormai far parte della storia della cybersecurity.

Quanto proposto da questo agente malevolo, però, ha fatto scuola e influenza anche le campagne malware odierne. Questo è quanto emerge da un rapporto di Cofense, che ha scoperto come due famiglie di malware, ovvero DarkGate e PikaBot, stanno seguendo alcune tattiche in precedenza utilizzate dal trojan ormai scomparso.

Secondo gli esperti, le similitudini sono diverse e includono messaggi di posta elettronica sfruttati come vettore principale, URL malevoli che ricordano quelli sfruttati da QakBot e altre piccole somiglianze. In generale, come scoperto da Zscaler, si parla di metodi di diffusione, campagne e comportamenti che accumunano QakBot ai suoi “eredi”.

Così come l’illustre predecessore, sia DarkGate che PikaBot possono fungere da loader sugli host compromessi, risultando dunque preziosi per i cybercriminali.

DarkGate e PikaBot “resuscitano” QakBot

La ricerca portata avanti da Cofense,rivela campagne phishing dai volumi elevati, capaci di focalizzarsi su svariati settori. Le catene di attacco vanno a propagare URL dannosi, che reindirizzato le vittime verso archivi ZIP che contengono dei dropper JavaScript. Questo, a sua volta, direziona l’utente verso un altro URL, dal quale viene scaricato ed eseguito DarkGate o PikaBot, a seconda del caso.

Le ricerche degli esperti hanno evidenziato anche un’ulteriore variante, che può coinvolgere ulteriori file Excel al posto del suddetto dropper javaScript. Le considerazioni di Cofense, evidenziano come questi malware possono essere utilizzati per il mining di criptovalute o in altri contesti, dallo spionaggio informatico fino ai temutissimi attacchi ransomware.

Così come per qualunque altro agente malevolo, agli utenti viene consigliata la massima cautela quando si scarica un file da un’e-mail o da un sito sospetto. In questo senso, un ottimo antivirus può comunque aiutare a vivere in modo più sereno la navigazione online.