RSA FraudAction Research Lab mette in luce le caratteristiche uniche di una
minaccia che si diffonde come un
Worm e colpisce come un
Trojan: è stato chiamato
Qakbot Trojan, anche se non è tecnicamente un Trojan puro.
Qakbot è particolarmente
pericoloso per la sicurezza delle aziende, in particolare delle
grandi istituzioni finanziarie. Sono queste infatti, soprattutto negli Stati Uniti, il bersaglio preferito di questa minaccia, che si comporta in modo atipico: essa infatti colpisce quasi esclusivamente i conti aziendali di queste grandi realtà (banche) e, solo in misura decisamente inferiore, aziende che operano in altri mercati.
Se non si tratta del primo nà© dell'unico Trojan a colpire questo tipo di realtà , quelle che generalmente trattano somme di denaro particolarmente elevate, è sicuramente l'unico che mostra evidente questa "preferenza" a livello di progettazione, senza eccezioni.
Non è ancora chiaro come Qakbot riesca a trasferire denaro dai conti bancari di queste istituzioni.
Finora, il team di ricerca RSA non ha identificato
code injection HTML o
JavaScript e nemmeno attacchi
Man-in-the-Browser, le classiche modalità di attacco verso i meccanismi di autenticazione a doppio fattore che solitamente proteggono questi conti.
Nonostante questo, è probabile che Qakbot abbia una sorta di modulo per completare attacchi in real-time, perchà© altrimenti non riuscirebbe ad insidiare questi conti aziendali.
Un'altra caratteristica peculiare di Qakbot è la sua apparenza: esso si presenta come la classica minaccia multiforme, disegnata per diffondersi come un Worm – infettando più macchine contemporaneamente – ed al tempo stesso sottraendo dati come ogni altro Trojan.
Qakbot si indirizza verso reti condivise, copiando i suoi file eseguibili in directory condivise, una tecnica che gli consente di diffondersi attraverso i
network aziendali, rendendo di fatto vulnerabile ogni
PC collegato alla rete. Anche se non del tutto inedita, la combinazione Worm/Trojan è rara e molto efficace.
Infine, Qakbot è una minaccia estremamente organizzata. àˆ il primo Trojan a separare le credenziali mirate dalle altre informazioni sottratte, già nel computer della vittima. Una volta effettuata questa distinzione, le credenziali mirate vengono inviate al drop server di Qakbot, mentre le credenziali sottratte ad altre realtà , non specificatamente rilevanti per Qakbot, vengono caricate su
account FTP deviati, che si trovano su FTP server legittimi.
Va detto infine che la distribuzione di Qakbot è ancora piuttosto limitata, e ciò fa pensare si tratti di una minaccia ideata e guidata da un singolo
cyber criminale o da un unico gruppo di lavoro, rispetto a quelle che sono disponibili commercialmente sul mercato sotterraneo.
Nonostante questo, le sue caratteristiche uniche lo rendono un ladro virtuale molto temibile.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
