La botnet Qbot sta diffondendo i suoi malware tramite e-mail di phishing con allegati di archivi ZIP protetti da password contenenti pacchetti MSI Windows Installer dannosi.
Questa è la prima volta che gli operatori di Qbot stanno usando questa tattica, passando dal loro modo standard di consegnare il malware tramite e-mail di phishing che fanno cadere documenti di Microsoft Office con macro dannose sui dispositivi degli obiettivi.
I ricercatori di sicurezza sospettano che questa mossa potrebbe essere una reazione diretta a Microsoft che ha annunciato di prevenire la consegna del malware tramite le macro di Office VBA a febbraio, dopo aver disabilitato le macro di Excel 4.0 (XLM) per impostazione predefinita a gennaio.
Microsoft ha iniziato a distribuire la funzione di blocco automatico delle macro VBA a Office per gli utenti di Windows all’inizio di aprile 2022, a partire dalla versione 2203 nel canale corrente (Preview) e ad altri canali di rilascio e versioni precedenti più tardi.
Questo è un significativo miglioramento della sicurezza verso la protezione dei clienti di Office, poiché l’utilizzo di macro VBA dannose incorporate nei documenti di Office è un metodo prevalente per spingere un vasto assortimento di ceppi di malware negli attacchi di phishing, tra cui Qbot, Emotet, TrickBot e Dridex.
Che cos’è Qbot?
Qbot (noto anche come Qakbot, Quakbot e Pinkslipbot) è un trojan bancario modulare per Windows con caratteristiche di worm, utilizzato almeno dal 2007 per rubare credenziali bancarie, informazioni personali e dati finanziari, così come per rilasciare backdoor sui computer compromessi e distribuire beacon Cobalt Strike.
Questo malware è anche noto per infettare altri dispositivi su una rete compromessa utilizzando exploit di condivisione della rete e attacchi brute-force altamente aggressivi che prendono di mira gli account admin di Active Directory.
Sebbene sia attivo da oltre un decennio, il malware Qbot è stato utilizzato principalmente in attacchi altamente mirati contro entità aziendali, in quanto forniscono un maggiore ritorno sugli investimenti.
Molte bande di ransomware, tra cui REvil, Egregor, ProLock, PwndLocker e MegaCortex, hanno utilizzato Qbot per violare le reti aziendali.
Poiché le infezioni Qbot possono portare a infezioni pericolose e ad attacchi altamente dirompenti, gli amministratori IT e i professionisti della sicurezza devono acquisire familiarità con questo malware, le tattiche che utilizza per diffondersi in una rete e quelle utilizzate dagli operatori botnet per consegnarlo a nuovi obiettivi.
Un rapporto di Microsoft del dicembre 2021 ha catturato la versatilità degli attacchi Qbot, rendendo più difficile valutare con precisione la portata delle sue infezioni.