QBot è tornato alla carica con nuove tecniche

Tra i trojan bancari maggiormente e tristemente noti per sistemi operativi Windows vi è senza dubbio alcuno QBot. Di tanto in tanto torna a far parlare di sé, come sta accadendo da inizio mese.

QBot: vecchia minaccia, nuove tattiche

I ricercatori di sicurezza informatica hanno infatti scoperto che sono iniziati nuovi attacchi contro obietitvi aziendali sfruttando tecniche differenti rispetto al passato. Diversi cybercrminali stanno infatti sfruttando il malware per accedere alle reti interne ed eseguire la distribuzione di altri payload, in special modo ransomware.

Nonostante il cambio di tattica, le funzionalità del malware restano sempre le stesse, ovvero il furto delle password e dei cookie dai browser, l’accesso alle email, il download di obalt Strike (per la diffusione dell’infezione nella rete) e altri payload, come anticipato.

Andando più nello specifico, i criminali informatici riescono a infiltrarsi in una conversazione chiedendo di scaricare un documento PDF che viene fatto passare come allegato rilevante. Quando il file viene aperto viene mostrato un avviso di protezione e per vedere il contenuto bisogna fare clic sul tasto apposito.

Dopo la messa a segno dei passaggi di cui sopra, viene eseguito il download di un archivio ZIP con un file Windows Script (.wsf) che quando eseguito avvia uno script PowerShell che scarica una DLL dal server remoto. Questa DLL è il trojan QBot, che viene iniettata nel processo legittimo wermgr.exe (Windows Error Manager).

Per evitare di andare incontro a problemi di sicurezza derivanti da QBot e non solo è bene installare sul computer un valido software antivirus, come nel caso di Norton 360 Premium.