I payload di QBot vengono progettati per raccogliere dati ed e-mail degli utenti da utilizzare in campagne future.
Qbot (noto anche come Qakbot, Pinkslipbot e Quakbot) è un trojan bancario con funzionalità di worm [ 1 , 2 , 3 ] utilizzato attivamente almeno dal 2009 per rubare dati finanziari e credenziali bancarie, nonché per registrare le sequenze di tasti degli utenti, per distribuire backdoor, e per eliminare malware aggiuntivo.
Esche di interferenza elettorale
Le e-mail malspam individuate di recente dal Threat Intelligence Team di Malwarebytes Labs sono camuffate come risposte in thread di posta elettronica precedentemente rubati, una tattica utilizzata per aggiungere legittimità agli occhi degli obiettivi.
Ciascuno dei messaggi di phishing viene fornito con allegati di fogli di calcolo Excel dannosi camuffati da file DocuSign sicuri che presumibilmente contengono informazioni relative all’interferenza elettorale.
Questo nuovo modello è stato adottato per abusare delle preoccupazioni del pubblico riguardo all’esito delle elezioni statunitensi del 2020 e per rendere più facile per gli hacker attirare potenziali vittime nell’apertura di documenti esca e abilitare le macro utilizzate per rilasciare payload malware.
Dopo che il malware Qbot è stato eseguito e ha infettato i computer delle vittime, si metterà in contatto con il suo centro di comando e controllo per chiedere ulteriori istruzioni.
“Oltre a rubare dati dalle sue vittime, QBot inizierà anche ad acquisire e-mail che verranno successivamente utilizzate come parte delle prossime campagne di malspam”, spiegano Jérôme Segura e Hossein Jazi di Malwarebytes.
Malware aggressivo utilizzato in campagne mirate
Oltre alle campagne di phishing, gli aggressori utilizzano spesso kit di exploit per eliminare i payload Qbot, con il bot che successivamente infetta altri dispositivi sulla rete delle vittime utilizzando exploit di condivisione di rete e attacchi di forza bruta altamente aggressivi che prendono di mira gli account amministratore di Active Directory.
Anche se attivo da oltre un decennio, il trojan bancario Qbot è stato utilizzato principalmente in attacchi mirati contro entità aziendali che forniscono un maggiore ROI.
A riprova di ciò, le campagne Qbot sono state piuttosto rare nel tempo, con i ricercatori che ne hanno rilevata una nell’ottobre 2014, una nell’aprile 2016 e un’altra nel maggio 2017.
Qbot ha anche assistito a una rinascita lo scorso anno, essendo stato abbandonato rispetto alla prima o seconda fase del payload di malware, dalla banda Emotet, nonché parte di una campagna di phishing sensibile al contesto nel marzo 2019 utilizzando thread di posta elettronica dirottati.
Durante il 2020, Qbot è stato utilizzato per raccogliere credenziali da clienti di dozzine di istituti finanziari statunitensi e per fornire ProLock ransomware a seguito di campagne di spear-phishing Qbot.
Alla fine del rapporto di Malwarebytes è possibile trovare un elenco completo degli indicatori di compromissione (IOC), inclusa una matrice di tecniche MITRE ATT & CK e hash di esempio di malware utilizzati in questa campagna Qbot.