QBot fa ancora parlare di sé: tra le nuove varianti ce n'è una camuffata da installer Adobe

Gli analisti della Advanced Threat Response Joint Task Force di Sophos (Sophos X-Ops) hanno individuato e analizzato una decina di nuove varianti del malware QBot in circolazione negli ultimi mesi: effettuandone il reverse engineering i ricercatori hanno evidenziato piccoli incrementi nel numero di build a indizio del fatto che chi sta sviluppando al momento il malware è impegnato a testarne le funzionalità e a perfezionarne il codice.

Alcuni dei campioni analizzati sono stati distribuiti come eseguibili Microsoft Software Installer che rilasciavano un file DDL utilizzando un archivio .CAB. Si tratta di un nuovo metodo di distribuzione rispetto alle varianti precedentemente note, che iniettavano codice in processi Windows legittimi allo scopo di eludere il possibile rilevamento. Le nuove varianti di QBot fanno uso anche di tecniche avanzate per l'offuscamento, sfruttando misure come la crittografia AES-256 per nascondere le comunicazioni con il server di comando e controllo.

Una delle varianti osservate si camuffa da installer Adobe su Windows, ingannando l'utente e facendogli credere che Adobe Setup sia in funzione così da indurlo ad avallare richieste di installazione fasulle che hanno il solo scopo di avviare il malware indipendentemente da ciò su cui si clicca. 

QBot o QakBot è un malware utilizzato per molti anni (le prime versioni risalgono al 2008) come mezzo per recapitare e caricare payload dannosi, principalmente ransomware, distribuiti normalmente tramite campagne di phishing via e-mail. L'operazione Duck Hunt dell'FBI aveva portato lo scorso agosto allo smantellamento della botnet associata al malware, interrompendone le attività. Nell'arco della sua esistenza QBot era riuscito a compromettere circa 700 mila sistemi, causando danni finanziari stimati in oltre 58 milioni di dollari nell'arco di 18 mesi.

L'operazione dell'FBI non aveva però portato ad alcun arresto, ragion per cui è verosimile immaginare che negli ultimi mesi gli attori alle spalle della botnet abbiano avuto l'opportunità di riorganizzarsi e ricostruire un'infrastruttura di distribuzione. Ovviamente al momento non è possibile determinare se queste nuove varianti siano state diffuse dagli operatori originari di QBot o di qualche altra parte che sia potuta in qualche modo entrare in possesso del codice del malware.

Lo scorso mese di dicembre i ricercatori di sicurezza Microsoft avevano individuato una nuova campagna basata su QBot, evidenziando tecniche simili a quelle riscontrate dai ricercatori Sophos. Le attività di QBot dopo lo smantellamento della botnet sono state comunque sporadiche, ma gli analisti di sicurezza sottolineano la necessità di mantenere alta l'attenzione.