QakBot, il trojan bancario colpisce ancora: l'allarme di Kaspersky

QakBot, il trojan bancario colpisce ancora: l'allarme di Kaspersky

Nei primi sette mesi del 2021 il numero di utenti attaccati da QakBot, un potente trojan bancario, è cresciuto del 65% rispetto allo stesso periodo del 2020. Questo incremento ha attirato l'attenzione dei ricercatori di Kaspersky, che hanno indagato sugli aggiornamenti dell'ultima versione di questo trojan.

di pubblicata il , alle 08:01 nel canale Sicurezza
Kaspersky
 

17.316 utenti in tutto il mondo, nei primi sette mesi del 2021, sono stati preda di QakBot, un potente trojan bancario. Secondo Kaspersky, il numero delle persone colpite è cresciuto del 65% rispetto allo stesso periodo del 2020 e c'è il rischio che questa minaccia si diffonda sempre di più. Per questo motivo i ricercatori dell'azienda di sicurezza hanno puntato i fari sugli aggiornamenti dell'ultima versione di questo trojan, scoprendo cose - purtroppo - interessanti.

I trojan bancari, quando infettano un PC, consentono ai criminali informatici di rubare denaro dai conti bancari online della vittima e dai rispettivi portafogli elettronici: per questo motivo vengono considerati come uno dei malware più pericolosi.

QakBot è stato identificato nel 2007 insieme a molti altri trojan bancari. Tuttavia, negli ultimi anni, lo sviluppatore di QakBot ha investito molto nel suo sviluppo, trasformandolo in uno dei più potenti e pericolosi malware della sua categoria.

Oltre alle funzioni che già altri trojan bancari usano, come keylogging e furto di cookie, password e dati di accesso, le versioni recenti di QakBot includono nuove funzionalità e tecniche che gli consentono di rilevare se è in esecuzione in un ambiente virtuale. Questa funzione viene spesso usata da soluzioni di sicurezza e anti-malware per identificare i malware dal loro comportamento.

QakBot è in grado di rilevare la sua esecuzione in un ambiente virtuale e può interrompere attività sospette o anche smettere di funzionare completamente. Inoltre, QakBot è capace di proteggersi dall'analisi e dal debug di esperti e strumenti automatizzati.

Un'ulteriore e insolita funzione individuata dai ricercatori di Kaspersky è la sua capacità di rubare le email dai device che attacca. Queste email vengono poi sfruttate per varie campagne di ingegneria sociale, rivolte agli utenti trovati nell'elenco dei contatti della vittima.

"È improbabile che QakBot interrompa la sua attività in tempi brevi. Questo malware viene continuamente aggiornato, e i threat actor che lo controllano continuano ad aggiungere nuove funzionalità e ad aggiornare i suoi moduli al fine di massimizzare le entrate, oltre che a continuare a rubare dati e informazioni", ha commentato Haim Zigel, malware analyst di Kaspersky.

"In passato abbiamo visto QakBot diffondersi attivamente tramite la botnet Emotet. Questa botnet è stata rimossa all'inizio dell'anno, ma a giudicare dalle statistiche sui tentativi di infezione, che sono cresciute rispetto allo scorso anno, i criminali dietro QakBot hanno trovato un nuovo modo di diffondere questo software dannoso".

Oltre a mantenere aggiornate le suite di sicurezza (o a dotarvene se non l'avete), Kaspersky suggerisce di: non aprire i link contenuti nei messaggi di spam, né i documenti ad essi allegati; utilizzare l'online banking con soluzioni di autenticazione a più fattori; assicurarsi che tutti i propri software siano aggiornati, inclusi il sistema operativo e tutte le applicazioni.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sk0rpi0n05 Settembre 2021, 11:59 #1
Scusate, ma mi sfugge come sia possibile rubare soldi dal conto corrente bancario quando ormai qualsiasi operazione deve essere autenticata da smartphone...
pabloski06 Settembre 2021, 12:26 #2
Originariamente inviato da: sk0rpi0n
Scusate, ma mi sfugge come sia possibile rubare soldi dal conto corrente bancario quando ormai qualsiasi operazione deve essere autenticata da smartphone...


https://blog.bushidotoken.net/2020/...-on-qakbot.html

"Qakbot variant was using web injects with a U-Panel GUI v2.9 (uAdmin). This specific GUI is often used by phishing kits to harvest two-factor authentication (2FA) codes. Paired with this function, a threat actor can remotely connect to the Qakbot-infected device, enter the stolen credentials plus the 2FA token, and begin initiating transactions"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^