E’ ritornato: ne avevamo già sentito parlare nel 2009 ma ora è tornato ancora più complesso di prima; stiamo parlando del malware con peculiarità da worm chiamato Qakbot. E’ conosciuto principalmente per esser un malware bancario, ovvero che cerca in diversi modi di trafugare dati sensibili inerenti conti finanziari e bancari.
La prima operazione che esegue questo malware, in ambiente Enterprise o aziendale, è bloccare gli account Active Directory, questo sia a causa dei molteplici tentativi che il malware fa per accedere a tutti i computer residenti nella medesima rete (cosa che in alcune configurazioni dopo un certo numero di tentativi porta al blocco degli account vittime di questi attacchi) sia perché il malware procede al blocco degli account, che esclude gli account bloccati dalla rete aziendale impedendo l’accesso e l’autenticazione della rete Active Directory e tutte le risorse disponibili. Inoltre Qakbot ha peculiarità di uno worm, visto che tende a moltiplicarsi e diffondersi con l’infezioni di chiavette usb, risorse condivise oltre che attraverso la rete locale.
Sembra inoltre che il malware abbia un payload che lo rende non individuabile ai software antivirus, è capace di caricarsi in autonomia insieme al sistema operativo e può eseguire attacchi ad intervalli di tempo, con comandi impartiti dall’attaccante in remoto. Lo scopo finale del malware è quello, tramite un attacco man-in-the-browser di iniettare del codice maligno nelle sessioni bancarie degli utenti trafugando quindi dati sensibili come credenziali memorizzate, certificati digitali e dati di sessioni autenticate trasmettendole poi all’attaccante tramite una backdoor installata nel sistema.
L’attacco avviene tramite email di phishing contenenti collegamenti web infetti, cosa che conferma l’assoluta necessità di prestare più che la solita attenzione quando apriamo email, verificandone la provenienza e se necessario scansionando manualmente gli allegati in siti come virustotal.com o simili.
Via: QakBot Banking Trojan Causes Massive Active Directory Lockouts