Qbot: il pericolo nei PDF

C’è un nuovo allarme per le aziende, si chiama Qbot ed è la nuova versione di un malware progettato per colpire le infrastrutture veicolando PDF dannosi. La procedura di attacco, evidenziata dai Kasperski Labs, prevede una procedura piuttosto elaborata ed è generalmente eseguita da cybercriminali esperti: tutto inizia sfruttando le tecniche di social engineering approntate per intercettare la corrispondenza di lavoro. Una volta in possesso degli indirizzi, i malintenzionati inoltrano allegati PDF dannosi ai thread di posta elettronica di cui sono venuti in possesso. Aprendo il file e interagendo con il PDF il malware entra in azione, attivandosi come parte di una rete botnet in grado di rubare dati come password e corrispondenza di lavoro. 

Il più grande problema di questa tipologia di attacchi è che oltre a rubare informazioni, i cybercriminali sono in grado di controllare il sistema infetto e di installare ransomware o altri trojan su vari dispositivi in rete. Essendo parte di una botnet i dispositivi coinvolti nell’attacco posso agire controllati dal dispositivo botmaster aumentando le capacità offensive dell’attaccante. Purtroppo, nella maggior parte dei casi, l’allegato PDF risulta ben contraffatto e simula una notifica di download da un servizio famoso come per esempio Microsoft Azure o Microsoft Office 365 da cui scaricare un allegato di lavoro. Se l’utente fa clic sul link, il malware viene scaricato sul suo computer da un server remoto compromesso. Il file malevolo (nella maggior parte dei casi) è un Windows Scrip che esegue un PowerShell per infettare l’eseguibile wermgr.exe.

Qbot è una vecchia conoscenza di chi si occupa di sicurezza informatica: è uno dei più vecchi trojan creati per seguire infostealing (furto di informazioni). Recentemente è tornato in auge con questa nuova versione supportata da collettivi di hacker noti come Egregor, Conti e ProLock. Nel mese di aprile sono state rilevate numerose campagne di phishing che hanno come allegati documenti PDF malevoli infetti
da Qbot. Al momento sono state rilevate e bloccate oltre 5.000 email compromesse, purtroppo questa tipologia di campagna è in continua espansione anche in italia.

Le soluzioni per contrastare questa tipologia di attacchi offerte da HyperGrid sono servizi come Mail Outpost e HyperSafe. MailOutpost è una soluzione per il controllo e il filtraggio dei contenuti email. Questo servizio funziona integrandosi perfettamente con i server di posta elettronica presenti in azienda e dispone di opzioni di sicurezza come il protocollo SPF che verifica l’integrità degli indirizzi dei mittenti, bloccandoli in caso di problemi. 

Il vantaggio di un servizio come MailOutpost  è la sua capacità di controllare in tempo reale email e allegati prima che arrivino nella casella di posta elettronica dei dipendenti evitando problemi di sorta. Oltre a fornire la massima protezione è in grado di migliorare il funzionamento della posta in azienda eliminando automaticamente le email contenenti malware e spam, riducendo così anche il carico di lavoro dei server. Il servizio supporta il Transport Layer Security (TLS) il protocollo Internet che cripta le email per assicurarne la privacy e il recapito protetto. HyperSafe è invece un servizio Managed Security Service (MSS) che sfrutta le tecnologie più aggiornate per la protezione della rete. Il servizio si basa sui database Cisco Talos strutturati su set di telemetria basati su miliardi di dati che comprendono milioni di campioni di malware e analisi delle intrusioni in modo da garantire la massima efficacia. Le funzioni di un servizio di sicurezza come HyperSafe possono includere svariati compiti che comprendono il monitoraggio e la gestione H24 dei sistemi di rilevamento delle intrusioni e dei firewall, la supervisione e la gestione delle patch software, l’esecuzione di valutazioni di sicurezza e la risposta immediata agli allarmi e alle emergenze.

Per maggiori informazione il sito di riferimento è: https://hypergrid.it

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica