QBot utilizza un bug di Windows per infettare i sistemi vulnerabili: l'aggiornamento non risolve del tutto

Uno dei malware più diffusi online nell’ultimo periodo si chiama QBot. Conosciuto anche come Qakbot, è nato come banking trojan ovvero come componente malevolo che una volta in esecuzione sul sistema Windows della vittima andava a cercare per poi sottrarre le credenziali di accesso per la gestione dei conti correnti bancari.

Oggi QBot ha cambiato pelle e si è trasformato in un malware dropper: significa che questo componente software dannoso viene largamente utilizzato per gestire la fase di infezione di un sistema. Esso funge da “grimaldello” per caricare sulla macchina i malware veri e propri utilizzando tecniche per sfuggire al controllo delle principali soluzioni antivirus.

La novità è che in molte campagne phishing avvistate in questi giorni, i criminali informatici stanno lanciando attacchi sfruttando le molteplici vulnerabilità scoperte nell’implementazione e nella gestione del cosiddetto Mark-of-the-Web (MotW) da parte di Windows.
Quando si prova ad aprire un file scaricato da Internet, compresi gli allegati alle email, Windows non consente subito la visualizzazione del file ma mostra un messaggio d’allerta informando sulla potenziale pericolosità dell’elemento. Questo avviene proprio in forza della presenza dell’attributo chiamato MotW e quindi del parametro Zone.Identifier memorizzato a livello di file system NTFS.

I file in formato exe o js, giusto per fare l’esempio di due estensioni di utilizzo comune, non vengono mai eseguiti automaticamente. I file docx, xlsx e tutti gli altri formati Office vengono aperti, proprio in forza della presenza del MotW, nella modalità chiamata Visualizzazione protetta: in questo modo eventuale codice malevolo non può andare subito in esecuzione.

Peccato però che fino all’8 novembre 2022, data in cui Microsoft ha rilasciato le patch correttive per Windows, in alcune circostanze si poteva evitare la comparsa degli avvisi di sicurezza in Windows di fatto azzerando l’efficacia del sistema MotW. Il problema, però, non è stato ancora completamente risolto.

Chi diffonde QBot ha avviato pesanti campagne phishing per far sì che gli utenti cadano nella trappola ed eseguano automaticamente il codice nocivo sia sui sistemi che risultano sprovvisti delle patch Microsoft, sia su quelle che l’hanno già installate.

Il consiglio è quello di applicare gli aggiornamenti di sicurezza indicati da Microsoft nel documento di supporto per la falla CVE-2022-41091 (si trovano in corrispondenza del paragrafo Security Updates): fanno parte dell’ultimo aggiornameno cumulativo installabile tramite Windows Update oppure dal Microsoft Update Catalog.

Il fatto, però, è che gli aggiornamenti distribuiti da Microsoft all’inizio di novembre 2022 non risolvono tutti i bug nell’implementazione del MotW: i ricercatori di ProxyLife hanno scoperto che gli aggressori stanno lanciando attacchi informatici predisponendo l’esecuzione di file JS contenenti firme digitali danneggiate. Si tratta di un bug zero-day che porta al mancato controllo del MotW.

Questo falla di sicurezza sarà verosimilmente corretta da Microsoft con il rilascio di un’apposita patch, il prossimo 13 dicembre. Nel frattempo è bene usare la massima cautela sia con gli allegati che con gli altri file scaricati dal Web o da altre sorgenti.