Il CERT-AGID ha diramato un avviso relativo a una massiva campagna Qbot (qakbot), rilevata e contrastata ieri dagli esperti, rivolta ad utenti italiani.
Qbot è un malware noto per esfiltrare credenziali ed informazioni riservate dal sistema compromesso. Gli esperti spiegano che la versione analizzata potrebbe essere la 4 visto la stringa “J:\projects\qbot4\common.obf\Benign” rilevata all’interno del codice.
L’email si presenta come una risposta ad una conversazione già intercorsa avente come oggetto sempre lo stesso preceduto da un “Re:”. Anche il nome utente è identico ma l’indirizzo email è differente. Il corpo del messaggio riporta in calce il testo della conversazione precedente, segno che l’account email della persona con cui è realmente avvenuta la conversazione è stato compromesso.
Il testo del messaggio invita a visitare una url dalla quale viene scaricato un file ZIP (se lo user-agent è Windows) all’interno del quale è presente un file XLSB con le dropurl annidate all’interno di un foglio nascosto.
La DLL di oltre 800 Kb rilascia ed esegue una nuova DLL di circa 400 Kb. che rappresenta il core di Qbot ed effettua numerosi controlli di routine per verificare che non sia stata eseguita in ambiente di debug. Una volta superati i controlli vengono decifrati in memoria tutti gli indirizzi dei C2 da contattare tramite una richiesta di tipo POST (0x100260A8).
Il CERT-AGID, al fine di rendere pubblici i dettagli della campagna riscontrata, ha riportato sul proprio sito gli indicatori rilevati.
https://cert-agid.gov.it/news/rilevata-campagna-massiva-qakbot-con-target-italia/
