Campagna trojan QBot colpisce il settore bancario e dirottare le e-mail aziendali per diffondere malware

da Redazione
0 commenti 1 minuti leggi

Kaspersky rivela che una nuova campagna di malware QBot sta sfruttando la corrispondenza aziendale dirottata per indurre le vittime ignare a installare il malware.

QBot, un trojan bancario in continua evoluzione

QBot (anche noto come Qakbot o Pinkslipbot) è un trojan bancario attivo dal 2007, noto per rubare password e cookie dai browser web e fungere da backdoor per iniettare payload di seconda fase, come Cobalt Strike o ransomware. Distribuito tramite campagne di phishing, il malware ha subito costanti aggiornamenti nel corso della sua vita, integrando tecniche anti-VM, anti-debugging e anti-sandbox per eludere il rilevamento. Nel marzo 2023, QBot è risultato il malware più diffuso, secondo Check Point.

Utilizzo di e-mail aziendali dirottate per diffondere il malware

Gli attacchi di dirottamento delle e-mail non sono una novità. Si verificano quando i cybercriminali si inseriscono nelle conversazioni aziendali esistenti o avviano nuove conversazioni basate su informazioni ottenute in precedenza da account di posta elettronica compromessi. L’obiettivo è indurre le vittime a cliccare su link o allegati dannosi, in questo caso un file PDF che simula un avviso di Microsoft Office 365 o Microsoft Azure.

Annunci

Il processo di infezione e la diffusione del malware

Aprendo il documento, viene recuperato un file di archivio da un sito web infetto, che a sua volta contiene un file di script di Windows oscurato (.WSF). Lo script, a sua volta, incorpora uno script PowerShell che scarica una DLL dannosa da un server remoto. La DLL scaricata è il malware QBot.

La scoperta avviene mentre Elastic Security Labs ha identificato una campagna di ingegneria sociale multi-stadio che utilizza documenti Microsoft Word weaponizzati per distribuire Agent Tesla e XWorm tramite un loader basato su .NET personalizzato.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara