I ricercatori di Kaspersky hanno rilevato un aumento degli attacchi (+65% nei primi sette mesi del 2021 rispetto allo stesso periodo del 2020) effettuati con QakBot, un potente trojan bancario che circola online dal 2007. La software house russa ha pubblicato un’analisi tecnica per illustrare le nuove funzionalità del malware.
QakBot: trojan bancario per rubare denaro
L’obiettivo principale di QakBot è accedere ai conti correnti online, dopo aver rubato le credenziali di login. Nel corso degli anni sono state aggiunte diverse funzionalità che hanno trasformato il trojan in uno dei malware più pericolosi in assoluto. La versione più recente può registrare i tasti premuti dall’utente (keylogger), installare backdoor e ransomware, rubare le email e impedire la rilevazione da parte delle soluzioni di sicurezza.
I cybercriminali distribuiscono QakBot attraverso campagne di phishing. Le vittime ricevono email con allegato ZIP, all’interno del quale c’è un documento Office con macro. Se l’utente apre il documento ed esegue la macro viene scaricato il malware da un server remoto (nel codice è presente una lista di 150 indirizzi IP).
Kaspersky ha rilevato che tra gennaio e luglio 2021 sono stati infettati oltre 17.300 utenti, mentre il numero dei tentativi di download del malware è stato superiore a 181.800. Come detto, QakBot viene continuamente aggiornato, ma al momento tutte le soluzioni dell’azienda russa riescono a bloccarlo. Haim Zigel, malware analyst di Kaspersky, ha dichiarato:
È improbabile che QakBot interrompa la sua attività in tempi brevi. Questo malware viene continuamente aggiornato e i threat actor che lo controllano continuano ad aggiungere nuove funzionalità e ad aggiornare i suoi moduli al fine di massimizzare le entrate, oltre che a continuare a rubare dati e informazioni. In passato abbiamo visto QakBot diffondersi attivamente tramite la botnet Emotet. Questa botnet è stata rimossa all’inizio dell’anno, ma a giudicare dalle statistiche sui tentativi di infezione, che sono cresciute rispetto allo scorso anno, i criminali dietro QakBot hanno trovato un nuovo modo di diffondere questo software dannoso.