Con l'aiuto di una nuova ondata di attacchi con PDF infetti, il trojan bancario Qbot vuole diffondersi ulteriormente. Le aziende, in particolare, spesso ricevono i file infetti nella loro casella di posta. La campagna di phishing si diffonde anche tramite file dannosi in lingua tedesca.
Gli esperti di Kaspersky hanno rilevato una nuova ondata di attività del malware Qbot all'inizio di questo mese. Si rivolge agli utenti aziendali e viene distribuito tramite una campagna e-mail di spam dannoso. I criminali informatici utilizzano tecniche avanzate di ingegneria sociale per il loro progetto: intercettano la corrispondenza e-mail esistente e inoltrano allegati PDF dannosi all'interno della conversazione. Finora, le soluzioni Kaspersky hanno rilevato più di 5.000 e-mail di questo tipo con allegati PDF in diversi paesi, tra cui la Germania.
Qbot – Trojan bancario particolarmente pericoloso
Qbot è un famigerato Trojan bancario che funziona come parte di una botnet e può rubare dati come password e corrispondenza e-mail aziendale. Consente inoltre agli attori delle minacce di assumere il controllo di un sistema infetto e installare ransomware o altri trojan sui dispositivi della rete. Il malware viene distribuito utilizzando una varietà di metodi, incluso un allegato PDF dannoso nelle e-mail, che finora non è stato comune in questa campagna.
Dall'inizio di aprile di quest'anno, c'è stata una maggiore attività in una campagna e-mail di spam utilizzando questo particolare schema con allegati PDF. L'attuale ondata di attacchi è iniziata la sera del 4 aprile: da allora, gli esperti di Kaspersky hanno rilevato più di 5.000 e-mail di spam contenenti file PDF in inglese, tedesco, italiano e francese che diffondono questo malware.
Corrispondenza e-mail rubata dalle aziende
Il trojan bancario viene distribuito tramite la corrispondenza commerciale autentica di una potenziale vittima, precedentemente rubata dai criminali informatici. Per fare ciò, viene inoltrata una e-mail a tutti i partecipanti al thread esistente, in cui di solito viene chiesto loro di aprire l'allegato PDF dannoso, fornendo una ragione plausibile. Gli aggressori chiedono, ad esempio, di inoltrare tutti i documenti contenuti nell'allegato o di calcolare l'importo dell'ordine pattuito sulla base dei costi stimati nell'allegato. Quando il PDF viene aperto, un archivio dannoso viene scaricato sul computer della vittima da un server remoto.
“La funzionalità di base del malware Qbot non è cambiata negli ultimi due anni; consigliamo alle aziende di rimanere vigili poiché il malware è molto pericoloso", commenta Darya Ivanova, Malware Analyst di Kaspersky. “I criminali informatici evolvono costantemente le loro tecniche e incorporano ulteriori elementi di ingegneria sociale più convincenti. Ciò aumenta la probabilità che un dipendente cada nella tua truffa. Per proteggersi da ciò, è necessario controllare attentamente i segnali di avviso come l'ortografia dell'indirizzo e-mail del mittente, allegati strani o errori grammaticali. Soprattutto, l'uso di speciali soluzioni di sicurezza informatica può garantire la sicurezza delle e-mail aziendali.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/