QBot non è più solo trojan bancario: adesso utilizza file PDF e script di Windows per diffondersi

QBot è un malware noto da tempo agli specialisti di sicurezza informatica. Conosciuto anche con l’appellativo di QakBot, in precedenza era un trojan bancario ovvero una minaccia che, una volta insediatasi sul sistema della vittima, provvedeva a cercare i dati di accesso a conti correnti e portafogli digitali trasferendo poi tali informazioni riservate ai criminali informatici. Un componente malevolo come QBot poteva anche monitorare le attività degli utenti e intercettare in tempo reale le informazioni utili a gestire, senza alcuna autorizzazione, i conti e le proprietà altrui sottraendo denaro o estorcendolo con attività phishing.

Lo stesso malware è evoluto ed è diventato un oggetto progettato per fornire l’accesso alle reti aziendali da parte di altre minacce: una volta infettato un sistema, QBot provvede a caricare automaticamente altri payload malevoli (ad esempio Cobalt Strike, Brute Ratel e altri) sul dispositivo infetto. In questo modo il malware, a partire dall’infezione iniziale, può diffondersi lateralmente quindi aggredire altri sistemi aziendali e avviare eventualmente anche l’installazione di ransomware come ultimo stadio dell’attacco.

Quando si parla di attacchi informatici, infatti, si dà davvero troppo peso all’aspetto ransomware quando un’aggressione da parte di questi componenti malevoli è di solito solo il passaggio finale di una catena di operazioni dannose cominciata molto prima.

I ricercatori di sicurezza hanno rilevato che dal mese di aprile 2023 QBot utilizza un nuovo metodo di distribuzione: il malware sfrutta allegati in formato PDF che una volta aperti e visualizzati inducono l’utente al download di uno script presentandolo come un documento legittimo. Si tratta invece di file Windows Script Files (WSF) che provvedono a loro volta a scaricare ed eseguire il payload di QBot. Ecco perché Windows 11 23H2 disabilità VBScript.

QBot utilizza la tecnica del reply-chain phishing: cos’è

La tecnica conosciuta con il nome di reply-chain phishing è una tattica sofisticata che mira a ingannare le vittime facendo leva sull’autorità e sulla fiducia dei contatti della vittima stessa. In questo tipo di attacco, l’aggressore invia un’email di phishing a una persona e, se la vittima risponde, l’hacker utilizza la sua risposta per continuare la catena di email e ingannare altri contatti della vittima. L’obiettivo è quello di ottenere informazioni sensibili o di accesso ai sistemi della vittima o delle aziende con cui la vittima collabora.

Il reply-chain phishing può essere particolarmente efficace perché nell’attacco vengono utilizzate le informazioni e le relazioni della vittima per comporre un’email credibile e convincere i destinatari a fornire informazioni sensibili o ad eseguire azioni pericolose.

Kaspersky spiega nella sua analisi che gli attaccanti utilizzano tecniche avanzate di social engineering: intercettano la corrispondenza di lavoro e inoltrano allegati PDF dannosi “accodandosi” alle stesse discussioni. Dal 4 aprile, più di 5.000 email contenenti allegati PDF malevoli sono state ricevute in vari Paesi e la campagna continua.

La catena dell’attacco utilizzata da QBot. Fonte dell’immagine: Kaspersky Securelist

Il contenuto del file PDF contiene un’immagine che simula una notifica di Microsoft Office 365 o di Azure: se l’utente fa clic sul falso pulsante Open o Apri, viene scaricato un file compresso contenente lo script WSF malevolo che tra l’altro, una volta in esecuzione, cerca di eludere il riconoscimento da parte delle principali soluzioni di scansione antimalware grazie all’utilizzo di codice offuscato e di una catena di operazioni che coinvolgono anche cmdlet PowerShell.