News

Il ritorno di Qbot, con nuovi “trucchi” ed espedienti

Secondo i dati resi noti da BAE Systems, il malware Qbot si è riattivato, ed ha già infettato oltre 54.500 macchine; l’85% delle nuove vittime risulta ubicato negli Stati Uniti.

L’ultima iterazione di Qbot, software nocivo conosciuto sin dall’inizio del 2009, è in grado di eludere con successo il rilevamento da parte delle soluzioni antivirus. Secondo BAE Systems, i malintenzionati che ricorrono all’utilizzo della nuova variante del malware hanno modificato il codice sorgente in maniera tale da far sì che Qbot abbia la possibilità di bypassare la maggior parte degli attuali sistemi di sicurezza.

Adrian Nish, capo degli analisti antivirus all’opera presso BAE Systems, spiega che la caratteristica peculiare di Qbot consiste nella sua capacità di “rigenerarsi”, ogni 24 ore, sull’host infetto. “Gli autori del malware in questione rimescolano e reimpacchettano il codice ogni giorno, – ha dichiarato Nish ai giornalisti di Threatpost.– Oggi, l’antivirus è in grado di individuarlo; domani, invece, non lo sarà più”.

Qbot, secondo quanto asserisce l’esperto, realizza il furto dei dati e raccoglie le credenziali; esso si diffonde attraverso l’exploit pack RIG. Questo malware attacca, prevalentemente, istituti accademici statunitensi, anche se non trascura affatto i complessi ospedalieri. Talvolta, esso “partecipa” a determinati programmi di affiliazione, agevolando la distribuzione dei ransomware.

Le “prove” relative alla diffusione dei famigerati software estorsori mediante l’utilizzo di Qbot in qualità di veicolo di propagazione sono contenute nel report stilato da BAE Systems; tale elemento coincide, di fatto, con quanto osservato, pochi giorni fa, da Cisco Talos. Gli esperti di Cisco hanno previsto la comparsa di cryptoblocker in grado di avvalersi di tecniche di infezione ormai collaudate da anni, e capaci di autodiffondersi, proprio come i worm.

Anche se Qbot dimostra di possedere alcune proprietà tipiche dei worm, quali, ad esempio, la capacità di propagarsi attraverso la rete e di autoreplicarsi, esso, tuttavia, non è autonomo. Per poter aggiornare il codice polimorfico, in effetti, il malware in causa ha bisogno del proprio server C&C di comando e controllo. I ricercatori hanno scoperto che il codice di Qbot viene ricompilato ogni sei ore, spesso con l’aggiunta di nuovi contenuti, allo scopo di conferire a tale software nocivo un “look” completamente nuovo, come se si trattasse di un malware del tutto diverso.

Dal 2009 ad oggi, per tutto il periodo della sua effettiva “esistenza” in Rete, Qbot, in fondo, non è mai scomparso dalla scena senza lasciare traccia di sè. Di tanto in tanto, in effetti, si sono avute sporadiche segnalazioni riguardo al manifestarsi di nuove infezioni, oppure relative alla comparsa di nuove varianti del malware, in grado di generare, tuttavia, un numero limitato di infezioni. La velocità con la quale Qbot si propaga, ad ogni caso, osservata già da un mese a questa parte, genera forti preoccupazioni nei ricercatori di BAE Systems, notevolmente allarmati anche per il fatto che il malware, in pratica, subisce sostanziali modifiche in tempi estremamente rapidi, potremmo dire quasi “al volo”.

Secondo Adrian Nish, i cambiamenti apportati a Qbot vengono realizzati su due livelli diversi. Da un lato, gli attacker modificano il codice binario, senza tuttavia compromettere, in alcun modo, le funzionalità del malware. “Questo livello di polimorfismo viene ottenuto mediante l’utilizzo di un apposito script PHP “gateway”, eseguito sul server C&C, – scrivono i ricercatori. – Ogni volta che viene prodotto un nuovo sample, lo script in azione presso il centro di comando provvede ad inviare le “necessarie” patch per due oggetti binari di notevoli dimensioni, all’interno del relativo template, utilizzando dati generati in maniera casuale; in tal modo, si ottiene una nuova copia, provvista di un hash diverso”.

Il secondo livello, per ciò che riguarda le modifiche di natura polimorfica, è costituito dalla ricompilazione e dal nuovo processo di codifica; questo consente di ottenere, di fatto, una struttura completamente nuova. “A questo livello, viene assegnato, al sample, il numero successivo di versione; talvolta, esso può persino ricevere un nuovo file di configurazione (a discrezione degli attacker), contenente indirizzi diversi, riguardo al C&C ed al server FTP adibito all’esfiltrazione dei dati”, – si sottolinea nel report stilato da BAE Systems.

Allo stato attuale, il numero delle infezioni causate da Qbot negli USA, secondo i dati raccolti da BAE, supera di gran lunga gli indici riscontrati in altre aree geografiche, in quanto gli attaccanti, inizialmente, sono riusciti a compromettere siti statunitensi. L’exploit pack RIG è stato individuato all’interno di vari domini, registrati attraverso GoDaddy. “A quanto pare, i malintenzionati si sono impossessati delle credenziali relative ad alcuni account GoDaddy, ed hanno poi utilizzato questi ultimi per creare sottodomini collegati a vari server NS, – presumono i ricercatori. – Molti di questi sottodomini risultano associati ad uno stesso identico dominio GoDaddy”.

Fonte: Threatpost

Il ritorno di Qbot, con nuovi “trucchi” ed espedienti

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox