QBot (o QakBot) è uno dei trojan bancari per Windows più diffusi e pericolosi. Dall’inizio del mese sono iniziati nuovi attacchi contro obiettivi aziendali, ma alcuni ricercatori di sicurezza hanno notato l’uso di tecniche differenti rispetto al passato. Diversi gruppi di cybercriminali sfruttano il malware per accedere alle reti interne e distribuire altri payload, ransomware in particolare.
QBot ritorna con nuove tecniche
Inizialmente QBot veniva distribuito tramite siti infetti e software pirata. Più recentemente finisce sui computer tramite email che sembrano provenire da un mittente fidato. I cybercriminali riescono ad infiltrarsi in una conversazione chiedendo di scaricare un allegato importante, ovvero un documento PDF. All’apertura viene mostrato un avviso di protezione. Per vedere il contenuto è necessario cliccare sul pulsante Open.
Viene invece scaricato un archivio ZIP contenente un file Windows Script (.wsf
). Quando eseguito con un doppio clic, il file avvia uno script PowerShell che scarica una DLL dal server remoto. Questa DLL è il trojan QBot, che viene iniettata nel processo legittimo wermgr.exe
(Windows Error Manager).
Le funzionalità del malware sono sempre le stesse: furto di password e cookie dai browser, accesso alle email, download di Cobalt Strike (per diffondere l’infezione nella rete) e altri payload, tra cui i ransomware più popolari del momento, come BlackBasta. È quindi necessaria una soluzione di sicurezza che rileva e blocca i tentativi di phishing.