I nuovi attacchi e-mail QBot utilizzano la combinazione PDF e WSF per installare malware

Qbot (alias QakBot) è un ex trojan bancario che si è evoluto in malware che fornisce l'accesso iniziale alle reti aziendali per altri attori delle minacce. Questo accesso iniziale viene effettuato eliminando payload aggiuntivi, come Cobalt Strike, Brute Ratel e altri malware che consentono ad altri attori delle minacce di accedere al dispositivo compromesso.

Utilizzando questo accesso, gli attori delle minacce si diffondono lateralmente attraverso una rete, rubando dati e infine distribuendo ransomware in attacchi di estorsione.

A partire da questo mese, il ricercatore di sicurezza ProxyLife e il gruppo Cryptolaemus hanno raccontato l'uso da parte di Qbot di un nuovo metodo di distribuzione della posta elettronica: allegati PDF che scaricano i file di script di Windows per installare Qbot sui dispositivi delle vittime.

Inizia con un'e-mail

QBot viene attualmente distribuito tramite e-mail di phishing a catena di risposta, quando gli attori delle minacce utilizzano scambi di e-mail rubate e quindi rispondono con collegamenti a malware o allegati dannosi.

L'uso di e-mail a catena di risposta è un tentativo di rendere un'e-mail di phishing meno sospetta in quanto è una risposta a una conversazione in corso.

Le e-mail di phishing utilizzano una varietà di lingue, contrassegnandola come una campagna di distribuzione di malware in tutto il mondo.

In allegato a queste e-mail è presente un file PDF denominato "Lettera di cancellazione-[numero].pdf" che, una volta aperto, visualizza un messaggio che indica: "Questo documento contiene file protetti, per visualizzarli, fare clic sul pulsante "apri"".

Tuttavia, quando si fa clic sul pulsante, verrà invece scaricato un file ZIP che contiene un file Windows Script (wsf).

Un file Windows Script termina con un'estensione .wsf e può contenere una combinazione di codice JScript e VBScript che viene eseguito quando si fa doppio clic sul file.

Il file WSF utilizzato nella campagna di distribuzione del malware QBot è fortemente offuscato, con l'obiettivo finale di eseguire uno script PowerShell sul computer.

Lo script di PowerShell eseguito dal file WSF tenta di scaricare una DLL da un elenco di URL. Ogni URL viene provato finché il file non viene scaricato correttamente nella cartella %TEMP% ed eseguito.

Quando viene eseguita la DLL QBot, eseguirà il comando PING per determinare se è presente una connessione Internet. Il malware si inietterà quindi nel legittimo programma Windows wermgr.exe (Windows Error Manager), dove verrà eseguito silenziosamente in background.

Le infezioni da malware QBot possono portare ad attacchi devastanti alle reti aziendali, rendendo fondamentale capire come viene distribuito il malware.

Gli affiliati ransomware collegati a più operazioni Ransomware-as-a-Service (RaaS), tra cui BlackBasta, REvil, PwndLocker, Egregor, ProLock e MegaCortex, hanno utilizzato Qbot per l'accesso iniziale alle reti aziendali.

I ricercatori di The DFIR Report hanno dimostrato che QBot impiega solo circa 30 minuti per rubare dati sensibili dopo l'infezione iniziale. Ancora peggio, l'attività dannosa impiega solo un'ora per diffondersi alle workstation adiacenti.

Pertanto, se un dispositivo viene infettato da QBot, è fondamentale portare il sistema offline il prima possibile ed eseguire una valutazione completa della rete per comportamenti insoliti.