Rilevamento di QakBot: la nuova variante del Trojan ha imparato nuovi trucchi
Indice:
Gli esperti di sicurezza hanno rivelato una nuova variante di un virus infostealer e trojan bancario conosciuto con il nome QBot (aka QakBot, QuackBot, o Pinkslipbot). Il trojan è stato rilevato per la prima volta alla fine degli anni 2000, utilizzato principalmente in attacchi motivati da fini finanziari volti a rubare le password delle vittime. I suoi operatori riaffiorano regolarmente con nuovi trucchi, adottando nuovi vettori di consegna e tecniche di evasione. Questa volta, gli avversari ingannano le vittime facendole aprire un allegato HTML armato che installa Qakbot, diffuso in una campagna di phishing.
Rileva QakBot
Utilizza una nuova regola di rilevamento rilasciata da Nattatorn Chuensangarun per esporre gli ultimi attacchi QBot contro la rete della tua organizzazione:
The La regola Sigma può essere utilizzata su più di 19 piattaforme SIEM, EDR & XDR, allineandosi con il framework MITRE ATT&CK® v.10, affrontando le tattiche di Evasione della Difesa ed Esecuzione con l’Esecuzione di Proxy di Binario Firmato (T1218) e Esecuzione Utente (T1204) come tecniche principali.
Gli utenti registrati di SOC Prime possono accedere a soluzioni innovative specifiche per l’industria e oltre 200.000 algoritmi di rilevamento che si integrano con più di 26 tecnologie SIEM, EDR e XDR. Per accedere all’elenco esaustivo di regole Sigma per rilevare attacchi QBot, clicca sul pulsante Rileva & Caccia qui sotto.
Per ottenere una migliore visibilità delle minacce che attraversano la tua rete, naviga in un panorama di minacce in continua evoluzione con una nuova soluzione di SOC Prime – il Motore di Ricerca delle Minacce Informatica. Il Motore di Ricerca è disponibile gratuitamente, senza vincoli. Provalo premendo il pulsante Esplora il Contesto delle Minacce .
Rileva & Caccia Esplora il Contesto delle Minacce
Descrizione di QakBot
Nelle recenti operazioni, gli avversari dietro la distribuzione di QakBot hanno adottato nuovi approcci per portare le loro capacità di evasione della rilevazione al livello successivo, utilizzando estensioni di file ZIP, imitando formati comuni per attirare i bersagli a scaricare allegati dannosi che installano Qakbot. Quando il destinatario apre il file HTML, il processo comporta l’esecuzione di un pezzo di codice javascript. Segue quindi la decodifica di una stringa base64 detenuta da una variabile locale, chiamando una funzione integrata, per salvare l’archivio ZIP decodificato. Il file ZIP contiene un file scorciatoia di Windows che imita visivamente un file di testo. Un doppio clic provoca il lancio di un programma di caricamento di QakBot. Secondo i dati di ricerca, l’ultima versione del trojan QakBot è migliorata con nuove tecniche di anti-analisi e offuscamento.
In questa campagna, gli hacker criminali sfruttano estensioni di payload come OCX, ooccxx, .dat, .gyp per aggirare la rilevazione da parte delle scansioni di sicurezza automatizzate.
Nuovi attacchi compaiono in natura ogni giorno, e i professionisti SOC necessitano di soluzioni precise basate sull’esposizione che tagliano il rumore e identificano le vere minacce alla sicurezza. La vasta libreria di contenuti di rilevamento di SOC Prime permette ai professionisti della sicurezza informatica di aumentare il valore dei loro investimenti in sicurezza. Unendosi alla piattaforma Detection as Code di SOC Prime, gli esperti di sicurezza possono vedere in azione come possono beneficiare da capacità di difesa informatica accelerate.
