Conosciuto anche come Qakbot, Quakbot o Pinkslipbot, il malware Qbot è un trojan bancario adattivo che minaccia seriamente la tua sicurezza.

Il malware è ormai così comune che vengono create intere "famiglie" di ogni tipo. È il caso di Qbot, una famiglia di malware utilizzata per rubare dati. Ma da dove viene Qbot, quanto è pericoloso e puoi stare alla larga?

Le origini di Qbot

Come spesso accade con il malware, Qbot (noto anche come Qakbot, Quakbot o Pinkslipbot) è stato scoperto solo quando è stato trovato in natura. In termini di sicurezza informatica, "in the wild" si riferisce a uno scenario in cui una forma di malware si diffonde tra i dispositivi mirati senza il permesso degli utenti. Si pensa che Qbot sia operativo almeno dal 2007, il che lo rende una forma di malware considerevolmente più vecchia rispetto a molti ceppi popolari disponibili oggi.

Molte forme di malware degli anni 2000 non sono più in uso, semplicemente perché non sono abbastanza efficaci per affrontare la tecnologia moderna. Ma Qbot si distingue qui. Al momento in cui scriviamo, Qbot è operativo da almeno 16 anni, una durata impressionante per un programma malware.

instagram viewer

Dal 2007, Qbot è stato più volte osservato in uso in natura, anche se interrotto da periodi di stagnazione. In ogni caso, è ancora un'opzione popolare tra i criminali informatici.

Qbot si è evoluto nel corso degli anni ed è stato utilizzato da numerosi hacker per numerose ragioni. Qbot è iniziato come un trojan, un programma che rimane nascosto all'interno di app apparentemente innocue. I trojan possono essere utilizzati per molti scopi dannosi, tra cui il furto di dati e l'accesso remoto. Qbot, più specificamente, cerca le credenziali bancarie. Per questo motivo è considerato un trojan bancario.

Ma è ancora così? Come funziona Qbot oggi?

Come funziona Qbot?

Il Qbot visto oggi si presenta in molte forme diverse, ma è il più notevole un trojan infostealer. Come suggerisce il nome, i trojan infostealer sono progettati per rubare dati preziosi, come informazioni di pagamento, credenziali di accesso e dettagli di contatto. Principalmente, questo tipo principale di malware Qbot viene utilizzato per rubare le password.

Sono state anche osservate varianti di Qbot che eseguono keylogging, hook di processi e persino sistemi di attacco tramite backdoor.

Dalla sua creazione negli anni 2000, Qbot è stato modificato in hanno capacità di backdoor, rendendolo molto più una minaccia. Una backdoor è essenzialmente un modo non ufficiale per infiltrarsi in un sistema o in una rete. Gli hacker usano spesso backdoor per eseguire i loro attacchi, in quanto offre loro un modo più semplice per entrare. "Porta sul retro. Qbot" è il nome dato a questa variante di Qbot.

Inizialmente, Qbot veniva diffuso tramite il malware Emotet, un'altra forma di trojan. Al giorno d'oggi, Qbot viene generalmente diffuso tramite campagne e-mail dannose tramite allegati. Tali campagne comportano l'invio di grandi volumi di posta indesiderata a centinaia o addirittura migliaia di destinatari, nella speranza che alcuni degli utenti presi di mira interagiscano.

All'interno di allegati e-mail dannosi, Qbot è stato comunemente osservato come un file .zip contenente un contagocce XLS carico di macro. Se un destinatario apre un allegato dannoso, il malware può essere distribuito sul suo dispositivo, spesso a sua insaputa.

Qbot può anche essere diffuso tramite exploit kit. Si tratta di strumenti che aiutano i criminali informatici nella distribuzione del malware. Gli exploit kit possono evidenziare vulnerabilità di sicurezza all'interno dei dispositivi e quindi abusare di tali vulnerabilità per ottenere l'accesso non autorizzato.

Ma le cose non si fermano con il furto di password e le backdoor. Gli operatori di Qbot hanno anche svolto un ruolo importante come broker di accesso iniziale. Si tratta di criminali informatici che vendono l'accesso al sistema ad altri malintenzionati. Nel caso degli attori di Qbot, l'accesso è stato concesso ad alcuni grandi gruppi, tra cui REvil ransomware come servizio organizzazione. In effetti, sono stati osservati vari affiliati di ransomware che utilizzano Qbot per l'accesso iniziale al sistema, dando a questo malware un altro scopo preoccupante.

Qbot è comparso in molte campagne dannose e viene utilizzato per prendere di mira una vasta gamma di settori. Organizzazioni sanitarie, siti web bancari, enti governativi e aziende manifatturiere sono stati tutti presi di mira da Qbot. TrendMicro ha riferito nel 2020 che il 28,1% degli obiettivi di Qbot si trova nel settore sanitario.

Anche altri otto settori, insieme a numerosi altri vari, rientrano nella gamma target di Qbot, tra cui:

  • Produzione.
  • Governi.
  • Assicurazione.
  • Formazione scolastica.
  • Tecnologia.
  • Olio e gas.
  • Trasporto.
  • Vedere al dettaglio.

TrendMicro ha anche affermato nello stesso rapporto che Thailandia, Cina e Stati Uniti hanno registrato il maggior numero di rilevamenti di Qbot nel 2020. Altri luoghi di rilevamento comuni includevano Australia, Germania e Giappone, quindi Qbot è evidentemente una minaccia globale.

Qbot esiste da così tanti anni perché le sue tattiche di attacco ed evasione si sono continuamente evolute per stare al passo con le moderne misure di sicurezza informatica. La diversità di Qbot lo rende anche un enorme pericolo per le persone di tutto il mondo, poiché possono essere prese di mira in tanti modi utilizzando questo programma.

Come evitare il malware Qbot

È praticamente impossibile evitare il malware il 100% delle volte. Anche il miglior programma antivirus non può proteggerti dagli attacchi a tempo indeterminato. Ma avere un software antivirus installato sul tuo dispositivo svolgerà un ruolo cruciale nel proteggerti dai malware. Questo dovrebbe essere considerato il primo passo quando si parla di sicurezza informatica. Allora, qual è il prossimo?

Poiché Qbot è comunemente diffuso attraverso campagne di spam, è importante che tu sia a conoscenza degli indicatori di posta dannosa.

Esistono numerosi segnali di allarme che possono esporre un'e-mail come dannosa, a partire dal contenuto. Se un nuovo indirizzo ti ha inviato un'e-mail contenente un collegamento o un allegato, è consigliabile stare alla larga finché non sai per certo che può essere considerato attendibile. Ce ne sono vari siti di controllo dei collegamenti puoi utilizzare per verificare la legittimità di un URL in modo da sapere se è sicuro fare clic.

Gli allegati possono essere pericolosi quanto i collegamenti quando si tratta di infezione da malware, quindi è necessario essere cauti quando si ricevono e-mail.

Esistono alcune estensioni di file allegati che tendono a essere utilizzate per diffondere malware, tra cui .pdf, .exe, .doc, .xls e .scr. Sebbene queste non siano le uniche estensioni di file utilizzate per l'infezione da malware, sono tra i tipi più comuni, quindi tienili d'occhio quando ricevi file allegati nelle tue e-mail.

Se ti viene mai inviata un'e-mail da un nuovo mittente che contiene un senso di urgenza, dovresti anche stare in guardia. I criminali informatici tendono a utilizzare un linguaggio persuasivo nelle loro comunicazioni per spingere le vittime a conformarsi.

Ad esempio, potresti ricevere un'e-mail che indica che uno dei tuoi account di social media è stato bloccato a causa di ripetuti tentativi di accesso. L'e-mail potrebbe ricevere un collegamento su cui devi fare clic per accedere al tuo account e sbloccarlo, ma, in in realtà, questo è un sito dannoso progettato per rubare i dati che inserisci (in questo caso, il tuo login credenziali). Quindi, se ricevi un'e-mail particolarmente persuasiva, considera se sei stato manipolato per conformarti, poiché questa è una possibilità molto reale.

Qbot è una delle principali forme di malware

Aumentare la versatilità di un programma malware lo rende quasi sempre più una minaccia e, con il passare del tempo, la diversificazione di Qbot lo ha reso una forza pericolosa. Questa forma di malware può continuare a evolversi nel tempo e non si sa davvero quali capacità si adatterà successivamente.