Gli esperti di Sophos hanno rilevato una recente campagna Qakbot che mostra come la botnet stia diventando sempre più avanzata e pericolosa per le organizzazioni: si inserisce nelle conversazioni e-mail esistenti e raccoglie un’ampia gamma di informazioni dalle macchine appena infette, comprese tutte gli account utente e autorizzazioni configurati, software installato, servizi in esecuzione e altro ancora, scaricando una serie di moduli dannosi aggiuntivi che migliorano la funzionalità della botnet principale.
La tecnica utilizzata da Qakbot (alias Qbot) sembra essere particolarmente convincente: il malware trasmesso dalle e-mail si diffonde inserendo risposte dannose nel mezzo delle conversazioni e-mail esistenti, utilizzando gli account compromessi di altre vittime di infezioni. Le e-mail inserite includono una breve frase e un collegamento, sotto forma di “URL nudi” o testo collegato a un collegamento rapido nel corpo del messaggio, per scaricare un file zip contenente un foglio di calcolo Excel dannoso.
All’utente viene chiesto di “abilitare il contenuto” per attivare la catena di infezione. Una volta che la botnet ha infettato un nuovo obiettivo, esegue una scansione dettagliata del profilo, condividendo i dati con il suo server di comando e controllo e quindi scaricando moduli dannosi aggiuntivi.
La botnet Qakbot ha scaricato almeno tre diversi payload dannosi sotto forma di librerie di collegamento dinamico (DLL). Secondo Sophos, questi payload DLL forniscono alla botnet una gamma più ampia di funzionalità.
Il codice malware di Qakbot è dotato anche di una crittografia non convenzionale che utilizza altresì per nascondere il contenuto delle sue comunicazioni.
“Sophos consiglia agli utenti di affrontare le e-mail insolite o impreviste con cautela, anche quando i messaggi sembrano essere risposte a thread di posta elettronica esistenti. Nella campagna Qakbot indagata da Sophos, una potenziale bandiera rossa per i destinatari era l’uso di frasi latine negli URL.
I team di sicurezza dovrebbero verificare che le protezioni comportamentali fornite dalle loro tecnologie di sicurezza impediscano alle infezioni di Qakbot di prendere piede. I dispositivi di rete avviseranno inoltre gli amministratori se un utente infetto tenta di connettersi a un indirizzo o dominio noto di comando e controllo”, consigliano gli esperti di Sophos.