Qakbot, il malware è tornato sotto mentite spoglie

Dopo tre mesi dall’operazione multinazionale di smantellamento dell’infrastruttura Qakbot da parte delle forze dell’ordine, Microsoft avrebbe individuato nuove campagne malspam prendere di mira il settore dell’ospitalità.

Il takedown dell’infrastruttura

La botnet/malware nota come Qakbot che ha infettato più di 700.000 computer vittime, facilitato la distribuzione di ransomware e causato danni per centinaia di milioni di dollari è stata distrutta nello scorso mese di agosto come riportato dal Dipartimento di Giustizia degli Stati Uniti annunciando il sequestro di oltre 8,6 milioni di dollari in criptovalute derivanti da profitti illeciti.

La nuova campagna rilevata

Secondo quanto riportato da Microsoft, con questa campagna di volume ridotto iniziata l’11 dicembre, le vittime avrebbero ricevuto via e-mail un file PDF (GuestListVegas.pdf) da un presunto impiegato dell’IRS (Internal Revenue Service), l’agenzia governativa deputata alla riscossione dei tributi all’interno del sistema tributario degli Stati Uniti d’America.

Fonte Microsoft

In realtà il PDF contenendo un link per il download, scarica un programma di installazione .msi di Windows firmato digitalmente (GuestListVegas_05.msi) che se eseguito avvia la catena di infezione di Qakbot tramite una DLL incorporata.

Fonte Microsoft

Di seguito si riportano gli IoC rilevati dai ricercatori di Redmond:

  • Firma del pacchetto MSI 50e22aa4b3b145fe1193ebbabed0637fa381fac3;
  • codice campagna tchk06;
  • versione inedita del payload Qakbot 0x500;
  • Qakbot C2 45[.]138.74.191 65[.]108.218.24

Quale insegnamento

Come già accaduto con Emotet questo evento evidenzia come l’operazione di smantellamento possa essere stata solo una battaglia vinta e che bisogna tenere sempre alta l’attenzione. Non si può escludere, infatti, che eventuali operatori scampati ai raid investigativi possano sviluppare in futuro nuove varianti Qakbot con caratteristiche e capacità aggiornate.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.