I ricercatori di Check Point Software Technologies hanno rivelato una preoccupante rinascita del temuto malware Qbot, noto per i suoi attacchi di phishing. Questa scoperta arriva quattro mesi dopo l’operazione Duck Hunt, che ha smantellato l’infrastruttura di Qbot. Tuttavia, sembra che il malware abbia ritrovato nuova vita, prendendo di mira il settore dell’ospitalità attraverso sofisticati tentativi di phishing.
Durante la recente campagna del mese scorso, gli hacker hanno impersonato l’IRS, inviando e-mail dannose alle organizzazioni del settore alberghiero. Gli allegati PDF contenenti URL incorporati a un falso programma di installazione Microsoft sono stati utilizzati per attivare una versione invisibile di Qbot, sfruttando una libreria di collegamento dinamico (DLL) incorporata. Questo attacco evidenzia la resilienza di Qbot, che, prima della sua rimozione nell’agosto 2023, dominava l’indice delle minacce per 10 mesi consecutivi. Anche se attualmente non figura tra i primi tre malware, i prossimi mesi saranno cruciali per determinare se riacquisterà la sua precedente notorietà.
Nel frattempo, il downloader JavaScript FakeUpdates ha conquistato la vetta della classifica, con un impatto globale del 2%. Questo malware, emerso alla fine del 2023, continua a minacciare organizzazioni in tutto il mondo. FakeUpdates, noto per scrivere payload su disco prima di eseguirli, può portare a ulteriori compromissioni attraverso l’introduzione di malware aggiuntivi. È stato utilizzato in attacchi mirati a enti governativi e organizzazioni nei settori dell’istruzione e delle comunicazioni.
La ricomparsa di Qbot e la rapida ascesa di FakeUpdates sottolineano l’adattabilità degli attaccanti alle nuove tecnologie. Gli esperti in sicurezza consigliano alle organizzazioni di adottare un approccio preventivo, concentrandosi sulla sicurezza degli endpoint e conducendo una rigorosa due diligence sulle e-mail sospette.
