Gli esperti di Sophos hanno individuato nuove varianti di QBot (o Qakbot) in circolazione. I cybercriminali usano installer fasulli di Adobe per ingannare gli utenti e copiare il malware sul computer. I nuovi attacchi sono iniziati a metà dicembre. Non sono noti gli autori, ma qualcuno ha ripristinato l’infrastruttura smantellata a fine agosto 2023.
QBot ritorna in attività
Secondo il Dipartimento di Giustizia degli Stati Uniti, QBot ha infettato oltre 700.000 computer in 18 mesi e causato danni per oltre 58 milioni di dollari. Al termine dell’operazione Duck Hunt è stata smantellata l’infrastruttura (insieme di server) usata per il controllo della botnet e l’invio dei comandi. È stato inoltre rimosso il malware dai computer.
I gestori originali (o qualcuno che ha avuto accesso al codice sorgente) hanno ricostruito l’infrastruttura e avviato nuove campagne da metà dicembre 2023. Gli esperti di Sophos hanno rilevato almeno 10 nuovi varianti di QBot, probabilmente usate come test. La catena di infezione inizia con l’invio di un installer MSI che copia un archivio CAB contenente la DLL del malware. Quest’ultima viene iniettata in processi legittimi di Windows per aggirare le protezioni.
L’ignara vittima vede sullo schermo un pop-up che indica l’installazione di un software Adobe. Anche se l’utente clicca sul pulsante No o sulla X per chiudere la finestra, QBot viene installato lo stesso in background. I ricercatori di Sophos hanno rilevato pochi attacchi, ma sembra evidente che l’obiettivo dei cybercriminali è ricostruire la botnet.
Ti potrebbe interessare
18 feb 2024