Il trojan bancario QakBot è sempre più potente e diffuso. Gli attacchi sono aumentati del 65%, ora è anche capace di aggirare le sandbox e di rubare gli indirizzi email delle vittime.
Autore: Redazione SecurityOpenLab
Si potenzia e torna a preoccupare QakBot, un trojan bancario in circolazione dal 2007 che negli anni si è costantemente rinnovato. Spesso si pensa ai trojan bancari unicamente come strumenti usati per rubare denaro. In effetti questa era la loro genesi, ma nel tempo si sono evoluti. Qakbot, per esempio, è da tempo inserito nella lista nera dei malware che installano ransomware.
Il suo ritorno sotto alle luci della ribalta è dovuto al fatto che nei primi sette mesi del 2021 gli attacchi con questo strumento malevolo sono cresciuti del 65% rispetto allo stesso periodo del 2020. Una percentuale che ha attirato i ricercatori di Kaspersky. Complessivamente hanno contato 17.316 attacchi in tutto il mondo, e hanno scoperto nuove armi al suo arsenale.
Una in particolare attira l'attenzione. Si tratta di una tecnica di mascheramento che consiste nella capacità di rilevare la sua esecuzione in un ambiente virtuale. È una risposta alla diffusione delle sandbox, ampiamente usate dalle soluzioni di cyber security per eseguire file e link sospetti in ambienti protetti, così da smascherare la natura malevola del codice senza infettare alcun sistema.
Molti malware hanno adottato per prassi delle funzioni di rilevamento delle sandbox per farla in barba alle difese informatiche. QakBot non è da meno: se si accorge di essere in esecuzione in un ambiente virtuale interrompe qualsiasi attività sospetta o smettere del tutto di funzionare.
Inoltre, QakBot è ora capace di proteggersi dall'analisi e dal debug di esperti e strumenti automatizzati. Terza e ultima novità è meno consueta. Nelle recenti versioni di QakBot i ricercatori hanno individuato codice capace di rubare le email dai device che attacca. Queste email vengono poi sfruttate per varie campagne di social engineering, rivolte agli utenti presenti nell'elenco dei contatti della vittima.
Campagne, queste ultime, che possono essere finalizzate a truffe come gli attacchi Business Email Compromise. Oppure ad attacchi ransomware e furto di dati. Ovviamente non manca il resto dell'arsenale tipico dei trojan: keylogging e furto di cookie, di password e di dati di accesso. Ecco perché QakBot è una minaccia da cui guardarsi con molta attenzione.
La difesa passa per l'applicazione delle best practice sulla cyber security. Non aprire i link contenuti nei messaggi di spam, né i documenti ad essi allegati. Utilizzare l'online banking con soluzioni di autenticazione a più fattori. Tenere sempre aggiornati tutti i software in uso e adottare una soluzione di sicurezza moderna, capace di verificare la sicurezza degli URL e di aprire i siti Internet in un ambiente protetto per prevenire il furto di dati sensibili.