Il ritorno di Qbot, con nuovi “trucchi” ed espedienti

Secondo i dati resi noti da BAE Systems, il malware Qbot si è riattivato, ed ha già infettato oltre 54.500 macchine; l’85% delle nuove vittime risulta ubicato negli Stati Uniti.

L’ultima iterazione di Qbot, software nocivo conosciuto sin dall’inizio del 2009, è in grado di eludere con successo il rilevamento da parte delle soluzioni antivirus. Secondo BAE Systems, i malintenzionati che ricorrono all’utilizzo della nuova variante del malware hanno modificato il codice sorgente in maniera tale da far sì che Qbot abbia la possibilità di bypassare la maggior parte degli attuali sistemi di sicurezza.

Adrian Nish, capo degli analisti antivirus all’opera presso BAE Systems, spiega che la caratteristica peculiare di Qbot consiste nella sua capacità di “rigenerarsi”, ogni 24 ore, sull’host infetto. “Gli autori del malware in questione rimescolano e reimpacchettano il codice ogni giorno, – ha dichiarato Nish ai giornalisti di Threatpost.– Oggi, l’antivirus è in grado di individuarlo; domani, invece, non lo sarà più”.

Qbot, secondo quanto asserisce l’esperto, realizza il furto dei dati e raccoglie le credenziali; esso si diffonde attraverso l’exploit pack RIG. Questo malware attacca, prevalentemente, istituti accademici statunitensi, anche se non trascura affatto i complessi ospedalieri. Talvolta, esso “partecipa” a determinati programmi di affiliazione, agevolando la distribuzione dei ransomware.

Le “prove” relative alla diffusione dei famigerati software estorsori mediante l’utilizzo di Qbot in qualità di veicolo di propagazione sono contenute nel report stilato da BAE Systems; tale elemento coincide, di fatto, con quanto osservato, pochi giorni fa, da Cisco Talos. Gli esperti di Cisco hanno previsto la comparsa di cryptoblocker in grado di avvalersi di tecniche di infezione ormai collaudate da anni, e capaci di autodiffondersi, proprio come i worm.

Anche se Qbot dimostra di possedere alcune proprietà tipiche dei worm, quali, ad esempio, la capacità di propagarsi attraverso la rete e di autoreplicarsi, esso, tuttavia, non è autonomo. Per poter aggiornare il codice polimorfico, in effetti, il malware in causa ha bisogno del proprio server C&C di comando e controllo. I ricercatori hanno scoperto che il codice di Qbot viene ricompilato ogni sei ore, spesso con l’aggiunta di nuovi contenuti, allo scopo di conferire a tale software nocivo un “look” completamente nuovo, come se si trattasse di un malware del tutto diverso.

Dal 2009 ad oggi, per tutto il periodo della sua effettiva “esistenza” in Rete, Qbot, in fondo, non è mai scomparso dalla scena senza lasciare traccia di sè. Di tanto in tanto, in effetti, si sono avute sporadiche segnalazioni riguardo al manifestarsi di nuove infezioni, oppure relative alla comparsa di nuove varianti del malware, in grado di generare, tuttavia, un numero limitato di infezioni. La velocità con la quale Qbot si propaga, ad ogni caso, osservata già da un mese a questa parte, genera forti preoccupazioni nei ricercatori di BAE Systems, notevolmente allarmati anche per il fatto che il malware, in pratica, subisce sostanziali modifiche in tempi estremamente rapidi, potremmo dire quasi “al volo”.

Secondo Adrian Nish, i cambiamenti apportati a Qbot vengono realizzati su due livelli diversi. Da un lato, gli attacker modificano il codice binario, senza tuttavia compromettere, in alcun modo, le funzionalità del malware. “Questo livello di polimorfismo viene ottenuto mediante l’utilizzo di un apposito script PHP “gateway”, eseguito sul server C&C, – scrivono i ricercatori. – Ogni volta che viene prodotto un nuovo sample, lo script in azione presso il centro di comando provvede ad inviare le “necessarie” patch per due oggetti binari di notevoli dimensioni, all’interno del relativo template, utilizzando dati generati in maniera casuale; in tal modo, si ottiene una nuova copia, provvista di un hash diverso”.

Il secondo livello, per ciò che riguarda le modifiche di natura polimorfica, è costituito dalla ricompilazione e dal nuovo processo di codifica; questo consente di ottenere, di fatto, una struttura completamente nuova. “A questo livello, viene assegnato, al sample, il numero successivo di versione; talvolta, esso può persino ricevere un nuovo file di configurazione (a discrezione degli attacker), contenente indirizzi diversi, riguardo al C&C ed al server FTP adibito all’esfiltrazione dei dati”, – si sottolinea nel report stilato da BAE Systems.

Allo stato attuale, il numero delle infezioni causate da Qbot negli USA, secondo i dati raccolti da BAE, supera di gran lunga gli indici riscontrati in altre aree geografiche, in quanto gli attaccanti, inizialmente, sono riusciti a compromettere siti statunitensi. L’exploit pack RIG è stato individuato all’interno di vari domini, registrati attraverso GoDaddy. “A quanto pare, i malintenzionati si sono impossessati delle credenziali relative ad alcuni account GoDaddy, ed hanno poi utilizzato questi ultimi per creare sottodomini collegati a vari server NS, – presumono i ricercatori. – Molti di questi sottodomini risultano associati ad uno stesso identico dominio GoDaddy”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *