Check Point illustra I nuovi trucchetti di Qbot, che indicano come, nonostante la sua età, il trojan bancario sia ancora un pericolo reale per le aziende.
Il famigerato trojan bancario Qbot è infatti in attività da oltre un decennio.
Il malware, che è stato anche soprannominato Qakbot e Pinkslipbot, è stato scoperto nel 2008 ed è noto per la raccolta di dati di navigazione e il furto di credenziali bancarie.
È altamente strutturato, multistrato, e viene continuamente sviluppato con nuove funzionalità per estendere le sue capacità. È diventato l’equivalente malware di un coltellino svizzero.
Qbot è capace di:
- Rubare informazioni dalle macchine infette, tra cui password, e-mail, dettagli della carta di credito e altro ancora.
- Installare altri malware su macchine infette, compreso il ransomware.
- Permettere al controller del Bot di connettersi al computer della vittima (anche quando la vittima è connessa) per effettuare transazioni bancarie dall’indirizzo IP della vittima.
- Prendere il controllo dei thread di posta elettronica legittimi degli utenti dal loro client di Outlook e utilizzarli per cercare di infettare i PC degli altri utenti.
Da marzo alla fine di giugno 2020 si è svolta una campagna con l’utilizzo di Qbot. Abbiamo ipotizzato che la campagna fosse stata interrotta per permettere a chi sta dietro a QBot di sviluppare ulteriormente il malware, ma senza immaginarsi che sarebbe tornata così rapidamente.
Pericoli del trojan Qbot
Verso la fine di luglio, una delle più gravi minacce informatiche di oggi, il Trojan Emotet, è tornata in piena attività e ha lanciato molteplici campagne di malspam, con un impatto sul 5% delle organizzazioni a livello globale.
Alcune di queste campagne includevano l’installazione di una versione aggiornata di Qbot sui PC delle vittime. Pochi giorni dopo, abbiamo identificato un nuovo campione di Qbot lasciato dall’ultima campagna di Emotet , che ci ha portato a scoprire una rinnovata infrastruttura di comando e controllo e nuove tecniche di malware distribuite attraverso il processo di infezione di Emotet.
Se questo non fosse abbastanza, la campagna di malspam di Qbot è ripresa all’inizio di agosto, diffondendosi a livello globale e infettando nuovi obiettivi. Uno dei nuovi trucchi di Qbot è particolarmente dannoso. Una volta che un computer viene infettato, attiva uno speciale modulo di raccolta delle e-mail che estrae tutti i thread delle e-mail dal client Outlook della vittima e li carica su un server remoto codificato in modo hardcoded.
Queste e-mail rubate vengono poi utilizzate per future campagne di malspam I ricercatori di Check Point hanno visto esempi di thread di e-mail mirate e dirottate con argomenti relativi a Covid-19, solleciti di pagamento delle tasse e assunzioni.
Pericoli del trojan Qbot
Sulla base della nostra visibilità, la maggior parte degli attacchi sono stati effettuati contro organizzazioni con sede negli Stati Uniti e in Europa. Tra questi, le industrie più mirate erano quelle governative, militari e manifatturiere.
Dopo un’analisi approfondita di questi nuovi campioni di QBot, Check Point ha elencato alcune osservazioni sui seguenti argomenti:
- Processo di infezione del Qbot – prendere il controllo di thread di posta elettronica e downloader VBS.
- La sua funzionalità di carico utile e la sua versione si interrompono.
- Protocollo di comunicazione C&C e modulo di recupero.
- Come una vittima diventa un potenziale bot-proxy, e vari metodi che il modulo Proxy espone.
- Catena di Infezione
- La catena di infezione di QBot è descritta nel seguente diagramma di flusso:
- E-mail malevola
La catena dell’infezione inizia con l’invio di e-mail appositamente create ad organizzazioni mirate. Il metodo è meno sofisticato delle tecniche di spear-phishing, ma ha ulteriori caratteristiche che ne aumentano la credibilità.
Una di queste si chiama “Hijacked Email Threads”, ovvero l’acquisizione di conversazioni e-mail archiviate e la risposta al mittente con il contenuto dannoso.
Queste conversazioni possono essere catturate utilizzando il modulo E-mail Collector di Qbot.
Durante il monitoraggio della campagna di malspam, abbiamo visto centinaia di URL diversi per ZIP dannosi cadere quando la maggior parte di essi erano siti WordPress compromessi.
Il metodo di infezione basato su VBS è piuttosto nuovo per il malware e viene utilizzato dall’aprile 2020. Nelle campagne precedenti, la catena di infezione è iniziata con un documento Word contenente macro dannose.
Mentre le macro precedenti avevano una semplice offuscamento e decodifica delle stringhe, il file VBS contiene diversi metodi più avanzati:
- Dimensione del file. La dimensione del file è più grande di 35MB, imbottita con byte NULL.
- Sleep Timer. Lo script ritarda la sua esecuzione chiamando l’API Sleep. Questo è un altro metodo per evitare i sandbox.
- Offuscamento. Lo script contiene diversi metodi di offuscamento.
- Crittografia. Il file VBS scarica il payload Qbot da uno dei 6 possibili URL cifrati e codificati. Questi URL sono criptati da una cifratura XOR personalizzata 3 volte con chiavi diverse che sono costruite dinamicamente.
- Analogamente al vecchio metodo di infezione, il file VBS scarica ed esegue il payload Qbot.
Pericoli del trojan Qbot. Payload Qbot
Nel corso dell’analisi, gli operatori di Qbot hanno spesso aggiornato versione e ci hanno incoraggiato a tenere traccia e ad analizzare i cambiamenti in ogni singola versione. Il fatto che gli sviluppatori abbiano lasciato un tag di versione contrassegnato nei campioni, ci ha permesso di eseguire questa analisi più facilmente.
Per esempio, diamo un’occhiata al tag di versione come mostrato nel campione spacchettato. Da ciò si può dedurre che la versione del payload iniziale è 325/5, mentre la versione del payload principale è 325/7. (La versione principale è letta come valore hex).
Nel corso degli ultimi mesi, abbiamo monitorato le diverse versioni di Qbot e abbiamo individuato alcune delle differenze in ogni versione.
La data indicata per ogni campione si basa sull’attributo temporale di compilazione dell’eseguibile. Questo campo può essere modificato tramite timestomping, ma sospettiamo che in questi casi non sia stato contraffatto.
Abbiamo anche tracciato i timestamp del payload principale, e abbiamo visto che il tempo di compilazione è stato costantemente di pochi minuti oltre a quello del payload iniziale.
Schemi di decriptazione
Il malware implementa diversi schemi di decriptazione per nascondere le sue funzionalità e i suoi dati alle vittime e ai fornitori di antivirus. Per poter analizzare con successo il malware e i suoi componenti, abbiamo dovuto automatizzare il processo di criptazione per tutte le varianti.
Pericoli del trojan Qbot. Payload Iniziale
Il payload iniziale di Qbot è stato ampiamente esaminato da altri ricercatori di malware. Le ultime versioni hanno implementato diversi componenti tipici del malware per ridurne la visibilità e rafforzarne l’analisi:
- Packer. L’eseguibile è stato ricostruito utilizzando un packer.
- Random Directory Name. Creazione di una directory di lavoro con nomi di directory e file randomizzati per evitare le firme dei file. La posizione della directory è %APPDATA%Microsoft.
- String Encryption. Contengono stringhe crittografate con crittografia XOR (vale anche per altri moduli).
- Dynamic Import Table. Tabella di importazione costruita dinamicamente sulla base di stringhe criptate (vale anche per altri moduli).