Kaspersky rivela che una nuova campagna di malware QBot sta sfruttando la corrispondenza aziendale dirottata per indurre le vittime ignare a installare il malware.
QBot, un trojan bancario in continua evoluzione
QBot (anche noto come Qakbot o Pinkslipbot) è un trojan bancario attivo dal 2007, noto per rubare password e cookie dai browser web e fungere da backdoor per iniettare payload di seconda fase, come Cobalt Strike o ransomware. Distribuito tramite campagne di phishing, il malware ha subito costanti aggiornamenti nel corso della sua vita, integrando tecniche anti-VM, anti-debugging e anti-sandbox per eludere il rilevamento. Nel marzo 2023, QBot è risultato il malware più diffuso, secondo Check Point.
Utilizzo di e-mail aziendali dirottate per diffondere il malware
Gli attacchi di dirottamento delle e-mail non sono una novità. Si verificano quando i cybercriminali si inseriscono nelle conversazioni aziendali esistenti o avviano nuove conversazioni basate su informazioni ottenute in precedenza da account di posta elettronica compromessi. L’obiettivo è indurre le vittime a cliccare su link o allegati dannosi, in questo caso un file PDF che simula un avviso di Microsoft Office 365 o Microsoft Azure.
Il processo di infezione e la diffusione del malware
Aprendo il documento, viene recuperato un file di archivio da un sito web infetto, che a sua volta contiene un file di script di Windows oscurato (.WSF). Lo script, a sua volta, incorpora uno script PowerShell che scarica una DLL dannosa da un server remoto. La DLL scaricata è il malware QBot.
La scoperta avviene mentre Elastic Security Labs ha identificato una campagna di ingegneria sociale multi-stadio che utilizza documenti Microsoft Word weaponizzati per distribuire Agent Tesla e XWorm tramite un loader basato su .NET personalizzato.