Categorie
Sicurezza Informatica

Nuova variante malware Qakbot sfrutta installer Adobe

Tempo di lettura: 2 minuti. Qakbot, Qbot, è ritornato dopo mesi con una nuova strategia di elusione attraverso un file installer di Adobe

Tempo di lettura: 2 minuti.

Una nuova variante del malware Qakbot, nota anche come QBot, sta utilizzando un finto popup di installazione di Adobe per eludere il rilevamento. Questa tattica ingannevole è stata osservata in campagne di email maligne a partire dalla metà di dicembre. Il malware Qakbot, noto per fungere da caricatore di vari payload dannosi come il ransomware, ha subito un’interruzione nell’agosto scorso ma sembra che gli sviluppatori stiano lavorando a nuove varianti.

Caratteristiche della nuova variante di QBot

Questa nuova versione di Qakbot presenta diverse tecniche avanzate per nascondere la sua presenza e comunicare con i server di comando e controllo (C2), tra cui:

  • Tecniche di Offuscamento Avanzate: La variante utilizza l’offuscamento avanzato, inclusa la crittografia AES-256 oltre al metodo XOR utilizzato nelle versioni precedenti.
  • Evasione del Rilevamento: Il malware verifica la presenza di software di protezione degli endpoint e reintroduce controlli per ambienti virtualizzati, cercando di evitare il rilevamento entrando in un loop infinito se rileva di trovarsi su una macchina virtuale.
  • Popup Ingannevole: Qakbot mostra un popup fuorviante che suggerisce che l’installazione di Adobe sia in corso sul sistema, con prompt di installazione fasulli che avviano il malware indipendentemente dall’opzione selezionata dall’utente.

Distribuzione e implicazioni

La nuova variante di Qakbot viene distribuita tramite un eseguibile Microsoft Software Installer (.MSI) che rilascia un binario DLL utilizzando un archivio Windows Cabinet (.CAB). Questo metodo differisce dalle versioni precedenti che iniettavano codice in processi Windows benigni per eludere il rilevamento.

La riapparizione di Qakbot e il suo sviluppo attivo sono motivo di preoccupazione per la sicurezza informatica, in quanto indica che gli attori delle minacce stanno cercando di rianimare e potenzialmente espandere le capacità di questo malware. Gli esperti di sicurezza stanno monitorando da vicino lo sviluppo di Qakbot per aggiornare le regole di rilevamento e condividere informazioni cruciali con altri fornitori di sicurezza.

Consigli per la protezione

Per proteggersi da questa e altre minacce simili, gli utenti dovrebbero:

  • Essere cauti con le email sospette e non aprire allegati o fare clic su link da mittenti non verificati.
  • Mantenere aggiornato il software antivirus e utilizzare soluzioni di sicurezza affidabili.
  • Prestare attenzione ai popup di installazione inaspettati e verificare l’autenticità dei software prima di procedere con l’installazione.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version