Qakbot (noto anche come QBot o Pinkslipbot) è un trojan con una storia evolutiva di 15 anni. Dalle sue origini come trojan bancario, ha continuato ad evolversi in malware, che ora viene utilizzato per la distribuzione laterale in una rete e per l'implementazione di ransomware.
Dopo essere stata smembrata dalle forze dell'ordine nell'agosto 2023, la quinta versione di Qakbot è stata rilasciata pochi mesi dopo. Zscaler ha analizzato la trasformazione di un malware resiliente, persistente e innovativo. Di recente, i ricercatori sulla sicurezza hanno scoperto che gli autori delle minacce hanno aggiornato la loro base di codice per supportare le versioni a 5 bit di Windows. Hanno anche migliorato gli algoritmi di crittografia e aggiunto ulteriori tecniche di offuscamento.
La storia del trojan Qakbot
Il malware è stato originariamente sviluppato nel 2008 come trojan bancario per rubare credenziali ed eseguire frodi ACH (casa di compensazione automatizzata), bonifici bancari e carte di credito. Le prime versioni di Qakbot includevano un timbro con la data e nessun numero di versione, ma nella grafica vengono indicate come 1.0.0 per chiarezza. Inizialmente il malware veniva distribuito come dropper con due componenti incorporati nella parte risorsa, che consisteva in una DLL dannosa e uno strumento utilizzato per iniettare la DLL nei processi in esecuzione. La gamma di funzioni era già ampia all'inizio con un server SOCKS5, funzioni per il furto di password o per il browser web per la raccolta di cookie.
Questa prima versione è stata ampliata e la versione 2011 è stata introdotta nel 2.0.0. Seguirono pietre miliari nello sviluppo dell’offerta di funzioni e nel 2019 iniziò il passaggio dalle frodi bancarie ai broker di accesso, che diffondevano ransomware come Conti, ProLock, Egregor, REvil, MegaCortex e BlackBasta. Nel corso degli anni, le tecniche anti-analisi di Qakbot sono state migliorate per aggirare i sandbox malware, i software antivirus e altri prodotti di sicurezza. Oggi il malware è modulare e può scaricare plug-in per aggiungere dinamicamente nuove funzionalità.
Ciascun numero di versione evidenziava le tecniche di minaccia dominanti del rispettivo periodo. Le prime versioni erano accompagnate da server di comando e controllo codificati, che sono stati sostituiti con l'ulteriore sviluppo delle tecniche di rilevamento e la disattivazione dei nomi di dominio contenenti codice dannoso. In risposta, sono stati introdotti la crittografia di rete e un algoritmo di generazione di domini (DGA). Tuttavia, con le richieste provenienti da una serie di domini si è verificato un certo rumore di fondo e gli sviluppatori di Qakbot sono passati a una nuova architettura a più livelli che utilizzava i sistemi compromessi come server proxy per instradare il traffico tra altri sistemi infetti. Un aggiornamento di progettazione di questo tipo ha risolto il problema del singolo punto di errore, ha ridotto il traffico di dati e ha contribuito a nascondere i server C2.
Qakbot 5.0
La versione 5.0 ora ha apportato forse la modifica più importante all'algoritmo per la codifica delle stringhe. Le stringhe vengono comunque crittografate con una semplice chiave XOR. Tuttavia, la chiave XOR non è più hardcoded nell'area dati. Viene invece crittografato utilizzando AES, dove la chiave AES è derivata da un hash SHA256 di un buffer. Un secondo buffer contiene il vettore di inizializzazione AES (IV) come primi 16 byte, seguito dalla chiave XOR crittografata AES. Una volta decrittografata la chiave XOR, il blocco di stringhe crittografate può essere decrittografato.
Il Trojan altamente sviluppato è cambiato in modo significativo nel giro di 15 anni fino a diventare una minaccia molto resistente e persistente. Nonostante l’interruzione avvenuta nel 2023, il gruppo malware rimane attivo e continuerà a sfruttare il suo potenziale di minaccia anche nel prossimo futuro. La piattaforma di sicurezza cloud multilivello di Zscaler riconosce i payload e li classifica sotto il nome Win32.Banker.Qakbot.
Altro su Zscaler.com
A proposito di Zscaler Zscaler accelera la trasformazione digitale in modo che i clienti possano diventare più agili, efficienti, resilienti e sicuri. Zscaler Zero Trust Exchange protegge migliaia di clienti da attacchi informatici e perdita di dati collegando in modo sicuro persone, dispositivi e applicazioni ovunque. Zero Trust Exchange basato su SSE è la più grande piattaforma di sicurezza cloud in linea al mondo, distribuita in oltre 150 data center in tutto il mondo.
Articoli relativi all'argomento