Il malware Qakbot è tornato: cos'è e come difenderti

Qakbot è una vecchia conoscenza per gli esperti di sicurezza informatica. Questo trojan bancario, infatti, esiste dal 2007 e ha mietuto un numero elevato di vittime durante il suo periodo di attività.

Noto anche come Qbot o Pinkslipbot, il suo modus operandi si focalizzava, in origine, sulle macro di Office. Da quando Microsoft ha disabilitato le stesse come impostazione predefinita sui suoi software, Qakbot sembrava destinato alla pensione. A quanto pare, però, il malware è tornato con un nuovo e altrettanto temibile modo di operare.

Secondo una ricerca di Zscaler, il malware ha modificato il suo comportamento, prendendo di mira i file di OneNote e sfruttando gli stessi per intaccare i computer degli utenti.

Il report, che prende in esame tre diversi casi studio, si è concentrato su alcuni attacchi avvenuti tra marzo e maggio 2023, con il coinvolgimento di file PDF e HTML infetti. Stando agli esperti, questi contenevano codice JavaScript nascosto, mascherato da fatture o documenti simili.

La repentina evoluzione di Qakbot: il malware torna più pericoloso che mai

Gli esperti di Zscaler, poi, hanno notato una modifica della strategia nel corso di aprile. I cybercriminali dietro a Qakbot, infatti, hanno utilizzato il formato Windows Script File per nascondere uno script XML codificato che scarica il payload effettivo del malware.

Nel mese di maggio, gli stessi hanno applicato altre modifiche, con l’introduzione di un proprio strumento a riga di comando per aumentare le capacità elusive del malware. Di fatto, stiamo parlando di un agente malevolo che è stato “risvegliato” e che è tornato ad essere un pericolo per gli utenti.

L’attività di Qakbot ha raggiunto il picco a giugno: ciò conferma un altro rapporto di Lumen Technologies che documenta come, una volta che il malware ha infettato il PC di un utente, ne prende il controllo e trasforma la macchina in un server di comando e controllo per la sua rete di infezione. Lumen ha scoperto che questi server vengono attivati e disattivati in tempi molto brevi, il che rende le azioni del malware più difficili da tracciare.

Riguardo la prevenzione, Zscaler ha affermato come “le organizzazioni devono rimanere vigili e adottare le migliori pratiche, inclusa l’implementazione di difese di sicurezza a più livelli e lo svolgimento di corsi di formazione sulla consapevolezza della sicurezza“.

Dunque, la combinazione di un antivirus o, ancora meglio, di una completa suite di sicurezza, può rappresentare un ottimo modo per evitare rischi. Abbinare queste precauzioni a una certa prudenza, può rendere la strategia difensiva ancora più efficace.