Sophos X-Ops ha scoperto e analizzato una nuova variante del malware Qakbot. Questi casi sono emersi per la prima volta a metà dicembre e dimostrano che il malware Qakbot ha continuato ad evolversi nonostante lo smantellamento riuscito dell'infrastruttura botnet da parte delle forze dell'ordine lo scorso agosto.
Gli aggressori utilizzano metodi ancora migliori per coprire le proprie tracce. I casi analizzati da Sophos X-Ops mostrano che i criminali informatici hanno compiuto sforzi concertati per rafforzare la crittografia del malware. Ciò ha reso più difficile per i difensori analizzare il codice dannoso. Inoltre, gli aggressori ora crittografano tutte le comunicazioni tra il malware e il server di controllo utilizzando un metodo più efficace rispetto alle versioni precedenti. Il malware ha inoltre reintrodotto una funzionalità precedentemente rimossa che ne impedisce l'esecuzione in un ambiente virtuale o sandbox.
Creatore di Qakbot ancora attivo
Solo se i creatori del bot venissero perseguiti, Quakbot potrebbe finire. "Lo smantellamento dell'infrastruttura botnet Qakbot è stata una vittoria, ma i creatori del bot rimangono attivi", ha affermato Andrew Brandt, ricercatore principale presso Sophos X-Ops, commentando i recenti incidenti legati a Qakbot. “I criminali informatici che hanno accesso al codice sorgente originale di Qakbot stanno sperimentando nuove varianti e testandole nell’uso nel mondo reale.
Uno dei cambiamenti più notevoli riguarda l'algoritmo di crittografia utilizzato dal bot per nascondere le configurazioni predefinite codificate. Ciò rende ancora più difficile per gli analisti vedere come funziona il malware. Gli aggressori stanno inoltre ripristinando funzionalità precedentemente deprecate come il rilevamento delle macchine virtuali (VM) e testandole in queste nuove versioni. È molto probabile che lo sviluppo di Qakbot continuerà finché i suoi creatori non verranno perseguiti. La buona notizia è che queste nuove varianti di Qakbot con firme create in precedenza possono essere facilmente rilevate dal software di rilevamento degli endpoint.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.
Articoli relativi all'argomento