QBot, noto anche con i nomi di Qakbot e Pinkslipbot, è un trojan bancario prolifico e in attività da oltre dieci anni (identificato in origine nel 2008). Si stima che abbia causato migliaia di vittime a livello globale, grazie alle sue molteplici capacità (altamente strutturato, multistrato e in continuo aggiornamento) e attitudini, agendo non solo da infostealer ma anche come distributore di malware (inclusi i temuti ransomware), che lo rendono ancora, a tutti gli effetti, una minaccia pericolosa e persistente.
QBot: ancora in attività
Secondo un nuovo rapporto una nuova campagna malspam veicolante il trojan QBot è ripresa all’inizio del mese di agosto, diffondendosi globalmente in particolare su obiettivi statunitensi ed europei tra enti governativi, militari e di manufactoring (di cui il 7% in Italia).
Già presente quest’anno in campagne svolte da marzo a fine giugno, a luglio è ricomparso con una variante e un rinnovato impianto di comando, controllo e funzionalità utilizzando per la sua diffusione infrastrutture d’infezione di terze parti come il framework Emotet che nello stesso mese ha avuto un notevole impatto sulle organizzazioni di tutto il mondo (circa il 5%, affermano i ricercatori di Check Point).
I principali e nuovi moduli individuati includono:
- un modulo utilizzato per comunicare con i server di comando e controllo;
- un modulo di raccolta email per rubare thread di posta elettronica dal client Outlook;
- un modulo di aggancio per iniettare moduli web e codici javascript malevoli nelle sessioni di navigazione;
- un modulo che scarica l’open source Mimikatz per cercare di carpire credenziali e password;
- un plug-in che consenteil controllo della macchina vittima tramite una connessione VNC remota (un attaccante esterno potrebbe eseguire transazioni bancarie all’insaputa dell’utente, anche se lo stesso risulterebbe contemporaneamente connesso al computer);
- un modulo per la cattura di cookie di autenticazione, utilizzabili per dirottare le sessioni dei browser (Internet Explorer, Edge, Chrome e Firefox);
- un modulo per l’aggiornamento dell’eseguibile corrente con una versione o con un elenco bot più recente;
- un modulo proxy, per anonimizzare l’indirizzo IP del server di comando e controllo.
La catena di infezione
Le più recenti catene di infezione QBot sono cambiate rispetto al passato e le email di spam non utilizzano più allegati con macro malevole ma piuttosto includono link URL che puntano a file .zip, ospitati su siti WordPress compromessi (https:// factory-hot[.]com/bafmxby/ CcdEhoQGHq.zip) e contenenti un downloader VBScript. Questo script estrae il carico utile .exe da ulteriori sei indirizzi URL hardcoded (crittografia XOR con chiavi dinamiche), evadendo il controllo sandbox tramite l’esecuzione di opportune routine.
Anche se il VBS è un linguaggio di scripting sviluppato da Microsoft, che è stato deprecato lo scorso anno, i criminal hacker scommettono sul fatto che molte aziende continuino a adoperare versioni Windows e di Internet Explorer (la cui fine assistenza è stata annunciata per Agosto 2021) prive degli aggiornamenti di sicurezza più recenti.
Una volta che una macchina viene compromessa può diventare essa stessa una potenziale minaccia per altri computer nella rete locale, divenendo un bot con capacità di spostamento laterale.
Il modulo “Hijacked Email Threads”
La catena di infezione che inizia dunque con l’invio di email appositamente allestite, presenta degli attributi aggiuntivi che ne migliorano l’efficacia. Uno di questi è rappresentato dal modulo “Hijacked Email Threads” che estrae tutti i thread di posta elettronica dal client Outlook target e li carica su un server remoto codificato. Queste email rubate vengono quindi utilizzate per future campagne di malspam, inducendo così più facilmente gli utenti a cliccare sui link dando l’impressione di continuare una conversazione legittima già esistente.
I ricercatori di sicurezza hanno campionato diversi thread di posta elettronica mirati e dirottati verso i file .zip dannosi, con argomenti relativi a Covid-19, reclutamento di lavoro (ricerca di sviluppatori C #, Java e PowerShell) e solleciti di pagamento.
QBot: il metodo d’infezione
Il metodo d’infezione basato su VBS, che da aprile 2020 è una novità per QBot, offre la possibilità di utilizzare diversi metodi di offuscamento e decodifica. Ad esempio per evadere i controlli delle sandbox, le dimensioni di uno script VBS possono essere maggiorate di un certo numero di byte nulli per superare le soglie di guardia standard (35 MB), oppure può essere adeguatamente ritardata la sua esecuzione tramite una chiamata API sleep.
Il modulo di comunicazione
L’impianto di comunicazione prevede un metodo collaudato per nascondere l’indirizzo IP del server di comando e controllo. L’host vittima infatti comunica indirettamente con il server C2 oppure con un proxy di secondo livello (46.228.199.235:443, 93.88.75. 176:443, 207.244.112. 112:443) contattando un determinato bot, scelto tra un pool di 150 indirizzi IP, che si occupa di inoltrare il flusso dati.
I messaggi, crittografati con un valore di inizializzazione casuale, vengono inviati tramite POST all’URL del bot scelto (https://[IPbot]:[portabot/]) e in formato JSON.
Nuove funzionalità
Almeno fino a quando i criminal hacker mostreranno interesse a sviluppare e aggiornare nuove funzionalità e attributi, QBot continuerà a rappresentare una minaccia duratura nel tempo.
Anche per QBot, definito da Check Point Research “l’equivalente malware di un coltellino svizzero”, occorre prestare la massima attenzione, soprattutto perché può essere adoperato (alla stregua del famigerato Emotet) come testa di ponte per la distribuzione nelle reti colpite di ulteriori malware.
Il team ha pubblicato, nel suo rapporto, gli indici di compromissione di molti dei campioni QBot e VBS analizzati durante la ricerca, una regola YARA e degli script Python per l’estrazione degli URL malevoli.