Check Point: Qbot, il trojan che ruba dati sensibili, preoccupa l’Italia

Una nuova pericolosa variante di Qbot si sta diffondendo attraverso campagne malspam per eseguire furto di credenziali, installazione di ransomware e transazioni bancarie non autorizzate. In Italia è al quarto posto.

Check Point ha pubblicato il suo recente Global Threat Index per il mese di agosto 2020. I ricercatori hanno scoperto che Qbot, un trojan noto anche come Qakbot e Pinkslipbot, è entrato per la prima volta nella top10, classificandosi al decimo posto tra i malware più diffusi ad agosto. In Italia, Qbot preoccupa maggiormente perché è entrato direttamente al quarto posto, tra i malware più diffusi.
Visto per la prima volta nel 2008, Qbot si è evoluto continuamente e ora utilizza sofisticate tecniche ransomware e di furto di credenziali. Qbot può anche abilitare transazioni bancarie non autorizzate, consentendo all’impostore di connettersi al computer della vittima. Ma ora anche una nuova pericolosa caratteristica: un modulo specializzato di raccolta delle e-mail che estrae i thread dal client Outlook della vittima e li carica su un server remoto esterno. Questo permette a Qbot di dirottare le conversazioni e-mail legittime degli utenti infetti e poi di effettuare lo spam utilizzando le e-mail dirottate per aumentare le possibilità di ingannare gli altri utenti, e infettarli.
I ricercatori di Check Point hanno trovato diverse campagne che utilizzano il nuovo Qbot, tra marzo e agosto 2020, tra cui uno distribuito dal trojan Emotet. Questa campagna ha avuto un impatto sul 5% delle organizzazioni a livello globale a luglio 2020.
“Gli hacker sono sempre alla ricerca di modi per aggiornare forme di malware già esistenti e hanno chiaramente investito molto nello sviluppo di Qbot per consentire il furto di dati su larga scala verso organizzazioni e individui. Abbiamo visto attive delle campagne malspam che distribuiscono Qbot direttamente, così come l'uso di infrastrutture per l’infezione di terze parti, come quella di Emotet. Le aziende dovrebbero cercare di implementare soluzioni anti-malware in grado di impedire che tali contenuti raggiungano gli utenti finali e consigliare ai dipendenti di essere prudenti nell'aprire le e-mail, anche quando sembrano provenire da una fonte affidabile.” ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point.
Infine, il team di ricerca avverte anche che “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto sul 47% delle organizzazioni a livello globale, seguita da “MVPower DVR Remote Code Execution”, con il 43%. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” è invece al terzo posto, con un impatto globale del 37%.