QakBot, noto anche come QBot, QuackBot e Pinkslipbot, è un Trojan bancario che esiste da oltre un decennio. È stato trovato in natura nel 2007 e da allora è stato continuamente mantenuto e sviluppato.
QakBot raccoglie informazioni sul sistema interessato e installa anche una backdoor, come spesso fanno i principali Trojan bancari.
QakBot viene solitamente installato tramite exploit kit.
“Il suo scopo principale è rubare credenziali bancarie (ad es. login, password, ecc.), sebbene abbia anche acquisito funzionalità che gli consentono di spiare operazioni finanziarie, diffondersi e installare ransomware al fine di massimizzare le entrate da organizzazioni compromesse.
Fino ad oggi, QakBot continua a crescere in termini di funzionalità, con ancora più capacità e nuove tecniche come la registrazione dei tasti premuti, una funzionalità backdoor e tecniche per eludere il rilevamento. Vale la pena ricordare che quest’ultimo include il rilevamento dell’ambiente virtuale, gli aggiornamenti automatici regolari e le modifiche al cryptor/packer. Inoltre, QakBot cerca di proteggersi dall’analisi e dal debug di esperti e strumenti automatizzati.
Un’altra funzionalità interessante è la capacità di rubare le e-mail. Questi vengono successivamente utilizzati dagli aggressori per inviare e-mail mirate alle vittime, con le informazioni ottenute utilizzate per indurre le vittime ad aprire tali e-mail.
QakBot è noto per infettare le sue vittime principalmente tramite campagne di spam. In alcuni casi, le email sono state consegnate con documenti Microsoft Office (Word, Excel) o archivi protetti da password con i documenti allegati. I documenti contenevano macro e alle vittime veniva chiesto di aprire gli allegati con affermazioni che contenevano informazioni importanti (ad esempio una fattura). In alcuni casi, le e-mail contenevano collegamenti a pagine Web che distribuivano documenti dannosi.
Tuttavia, esiste un altro vettore di infezione che implica il trasferimento di un payload QakBot dannoso al computer della vittima tramite altro malware sul computer compromesso.
I vettori di infezione iniziali possono variare a seconda di ciò che gli attori della minaccia ritengono abbia le migliori possibilità di successo per l’organizzazione o le organizzazioni mirate. È noto che vari attori delle minacce eseguono preventivamente la ricognizione ( OSINT ) delle organizzazioni bersaglio per decidere quale vettore di infezione è più adatto.
La catena di infezione delle recenti versioni di QakBot (varianti 2020-2021) è la seguente:
- L’utente riceve un’e-mail di phishing con un allegato ZIP contenente un documento di Office con macro incorporate, il documento stesso o un collegamento per scaricare un documento dannoso.
- L’utente apre l’allegato/link dannoso e viene indotto a fare clic su “Abilita contenuto”.
- Viene eseguita una macro dannosa. Alcune varianti eseguono una richiesta “GET” a un URL che richiede un “PNG”. Tuttavia, il file è in realtà un file binario.
- Il payload caricato (stager) include un altro binario contenente moduli di risorse crittografati. Una delle risorse crittografate ha il binario DLL (loader) che viene decifrato successivamente durante il runtime.
- Lo ‘Stager’ carica il ‘Loader’ nella memoria, che decifra ed esegue il payload durante il runtime. Le impostazioni di configurazione vengono recuperate da un’altra risorsa.
- Il payload comunica con il server C2.
- Ulteriori minacce come il ransomware ProLock possono ora essere inviate alla macchina infetta.”
Maggiori info su https://securelist.com/qakbot-technical-analysis/103931/
