Rilevamento Malware QBot: Vecchio Cane, Nuovi Trucchi

[post-views]
Febbraio 16, 2022 · 4 min di lettura
Rilevamento Malware QBot: Vecchio Cane, Nuovi Trucchi

Non puoi insegnare nuovi trucchi a un vecchio cane. Eppure, i criminali informatici ignorano gli stereotipi comuni, aggiornando QBot con nuovi trucchi nefandi per attaccare le vittime a livello globale. Questo malware “veterano” è emerso nel 2007, eppure i ricercatori di sicurezza osservano che QBot viene costantemente aggiornato per seguire l’ondata delle tendenze maligne.

Ad esempio, i ricercatori di sicurezza osservano che i manutentori di QBot stanno sempre più abusando dei LOLBin (Living Off the Land Binaries). In particolare, un comune LOLBin è noto come Regsvr32.exe: i malintenzionati utilizzano questa utility da riga di comando per impiantare trojan come Lokibot e QBot nel sistema di una vittima. Questo approccio crea un ambiente lucrativo per il successo dell’operazione, dato che Regsvr32.exe è uno strumento utilizzato all’interno di più processi di routine.

Attacchi QBot

QBot (QakBot, QuakBot, anche Pinkslipbot) è emerso alla fine degli anni 2000. Da circa 15 anni, il trojan causa grattacapi, con i cybercrimineli dietro di esso che inventano fedelmente modi innovativi per svolgere la loro attività malevola.

Negli ultimi anni, il malware QBot è cresciuto fino a diventare una famiglia di malware per Windows di ampia portata, utilizzata prevalentemente in campagne di phishing. Consente agli hacker di rubare credenziali bancarie e di dominio Windows, infettare altri computer e fornire ai gruppi di ransomware l’accesso remoto. Secondo i dati attuali, QBot è stato impiegato come agente di consegna per ransomware per ottenere l’accesso iniziale alle reti aziendali da parte di gruppi noti come REvil, PwndLocker, Egregor, ProLock e MegaCortex.

Catena di infezione di QBot

Tipicamente, le infezioni da QBot derivano da un’altra infestazione da malware o, più comunemente, da un attacco di phishing. QBot prende di mira dispositivi che eseguono Windows, utilizzando email di phishing come punto di accesso iniziale e sfruttando vulnerabilità nelle applicazioni predefinite di un sistema come il client di posta elettronica di Microsoft, Outlook. Oggi, dotati di un modulo in grado di leggere i thread delle email, gli hacker dietro QBot hanno raggiunto nuovi livelli nel far sembrare le email false più legittime per le loro vittime. Gli attacchi di phishing di QBot si basano su un vasto repertorio di esche, come fatture false, promemoria di pagamento, informazioni bancarie, offerte di lavoro, documenti scannerizzati, avvisi di rilevamento virus e allarmi COVID-19 preoccupanti, spingendo un destinatario ad aprire il file infetto, abilitando il codice macro incorporato.

Nelle campagne attuali, gli operatori di QBot consegnano documenti Word, Excel, RTF e compositi malevoli. Quando una vittima apre un documento, alimenta la diffusione delle infezioni da QBot. Il QBot DLL loader iniziale viene scaricato e il processo QBot utilizza un’attività schedulata di Windows per elevare il proprio livello di accesso al sistema. In appena 30 minuti, l’intero sistema della vittima viene preso d’assalto.

Prevenire il QBot

QBot è stato nel radar della cybersecurity per più di 15 anni, guadagnandosi un rango di notorietà come un anziano malware di lunga data, distribuito tramite email. Alla luce di un numero crescente di campagne di phishing via email, Microsoft ha annunciato un cambiamento predefinito per cinque applicazioni Office che eseguono macro, cioè per bloccare le macro VBA ottenute da internet, a partire da aprile 2022.

La soluzione sopra spera di diventare un grande passo avanti nella sicurezza per i dispositivi operati da Windows. Nel frattempo, le regole di rilevamento di Nattatorn Chuensangarun aiutano i professionisti della sicurezza a esporre gli ultimi attacchi di QBot contro la rete dell’organizzazione:

Il malware Qbot raccoglie informazioni del browser (via process_creation)

Il malware Qbot utilizza il processo REG per l’elusione della difesa (via process_creation)

Il malware Qbot utilizza il processo msra per l’escalation dei privilegi (via process_creation)

L’elenco completo delle rilevazioni nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.

Iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime per rendere il rilevamento delle minacce più facile, veloce ed efficiente con le migliori pratiche del settore e competenze condivise. La piattaforma consente anche ai professionisti SOC di condividere i contenuti di rilevamento da loro creati, partecipare a iniziative di alto livello e monetizzare il contributo.

Vai alla piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati