Qakbot esegue scansioni dettagliate dei profili dei computer infetti, scarica moduli aggiuntivi e offre una crittografia sofisticata. Punto di partenza degli attacchi: i criminali informatici si aggrappano abilmente a vere linee di comunicazione e-mail. La botnet Qakbot segue le orme di Emotet.
Sophos ha pubblicato un'analisi tecnica di Qakbot che mostra come la botnet stia diventando sempre più sofisticata e pericolosa per le aziende. Nell'articolo "Qakbot si inserisce nel mezzo delle tue conversazioni", SophosLabs descrive una recente campagna di Qakbot che mostra come la botnet si diffonda attraverso il dirottamento del thread di posta elettronica e raccolga una varietà di informazioni sui profili dai computer appena infettati. Ciò include, tra le altre cose, tutti gli account utente e le autorizzazioni configurati, il software installato e i servizi in esecuzione. La botnet scarica anche una serie di moduli dannosi aggiuntivi che estendono la funzionalità della botnet principale.
Il codice malware di Qakbot presenta una crittografia non convenzionale. Questo serve anche a mascherare il contenuto della comunicazione. Decifrando i moduli dannosi e il sistema di comando e controllo della botnet, Sophos ha capito come Qakbot riceve le sue istruzioni.
La catena di infezione di Qakbot
Nella campagna analizzata da Sophos, la botnet ha inserito messaggi dannosi nel traffico e-mail esistente. Le e-mail contengono una breve frase e un collegamento per scaricare un file zip contenente un file Excel dannoso. Agli utenti è stato chiesto di abilitare il contenuto per attivare la catena di infezione. Una volta che la botnet ha infettato un nuovo obiettivo, esegue una scansione dettagliata del profilo, condivide i dati con il suo server di comando e controllo e quindi scarica almeno tre diversi moduli dannosi sotto forma di librerie a collegamento dinamico (DLL). dare alla botnet una gamma più ampia di capacità.
I moduli importati erano costituiti da:
- Un modulo che inserisce codice per il furto di password nei siti web
- Un modulo che esegue scansioni di rete e raccoglie dati su altre macchine vicine alla macchina infetta
- Un modulo che cerca gli indirizzi di una dozzina di server e-mail SMTP (Simple Mail Transfer Protocol) e quindi tenta di connettersi a ciascuno e inviare spam
Precursori noti di un attacco ransomware
“Qakbot è una botnet multiuso e modulare distribuita via e-mail. I criminali informatici lo utilizzano sempre più come uno strumento di distribuzione di malware, simile a Trickbot ed Emotet", ha affermato Andrew Brandt, Principal Threat Researcher di Sophos. "La nostra analisi dimostra la raccolta di dati dettagliati sul profilo delle vittime, la capacità della botnet di elaborare complesse sequenze di comandi e una serie di moduli che estendono la funzionalità del motore principale della botnet".
Le infezioni da botnet sono un noto precursore di un attacco ransomware. Questo non è solo perché le botnet potenzialmente distribuiscono ransomware. Gli sviluppatori di botnet possono anche vendere o affittare il proprio accesso alle reti infette. Ad esempio, i team di Sophos hanno rilevato campioni di Qakbot che distribuiscono i beacon Cobalt Strike, il primo passo nella porta della rete aziendale, direttamente a un host infetto. Una volta che gli operatori di Qakbot hanno utilizzato il computer infetto, possono dare, affittare o vendere l'accesso a questi beacon ai propri clienti.
Cosa fare contro Qakbot?
Sophos consiglia di prestare attenzione alle e-mail insolite o impreviste, anche se i messaggi sembrano essere risposte al traffico e-mail esistente. Nella campagna Qakbot indagata da Sophos, l'uso di frasi latine negli URL era un potenziale campanello d'allarme.
Inoltre, i team di sicurezza dovrebbero verificare che le protezioni comportamentali fornite dalle loro tecnologie di sicurezza prevengano l'infezione da Qakbot. I dispositivi di rete avvisano anche gli amministratori quando un utente infetto tenta di connettersi a un indirizzo o dominio di comando e controllo noto. Per ulteriori informazioni, consultare l'articolo "Qakbot si inserisce nel mezzo delle tue conversazioni" su SophosLabs.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.