Funzionamento del malware QakBot

Nell’ultimo periodo è stato riscontrato un aumento sul territorio italiano del malware QakBot che viene distribuito principalmente mediante campagne phishing.

L’aumento potrebbe essere imputato alla collaborazione sempre più stretta che viene rilevata tra aziende di cyber crimine diverse. Queste, infatti, acquisendo sempre più una verticalità specifica nelle dinamiche di compromissione di un sistema informatico, stanno creando partnership per sfruttare il vantaggio competitivo l’una dell’altra e portare avanti attacchi sempre più sofisticati. Il comportamento rilevato è del tutto analogo alle partnership che vengono create tutti i giorni da aziende in tutto il mondo, ma sono ovviamente volte ad azioni illegali.

Le due aziende coinvolte in questo caso sono: QakBot, specializzata nell’ottenere accesso non autorizzato a network terzi, e Black Basta, focalizzata sullo sviluppo e la distribuzione di ransomware.

Di seguito svolgiamo una prima analisi del suo funzionamento. Ulteriori informazioni seguiranno nelle prossime settimane.

Come funziona

Il vettore iniziale dell’attacco è riconducibile ad una campagna phishing, forse proveniente da un’azienda che collabora con il bersaglio, in cui le caselle email potrebbero essere state compromesse in precedenza.

L’email che viene inviata alla vittima è simile alla seguente:

Cliccando sul link, viene scaricato un archivio compresso protetto dalla password condivisa all’interno della mail. Questo metodo è molto comune perché permette di bypassare i controlli antivirus. L’archivio scaricato contiene un file IMG (Disk Image File), cioè un file che può essere usato come un disco.

Una volta aperto il file, questo si monta come un normale disco o drive USB e contiene, a sua volta, altri due file.

Uno è un file LNK, un collegamento di Windows, in cui l’icona è stata modificata risultando quella standard di una directory. Il file menzionato ha lo stesso nome dell’archivio compresso scaricato inizialmente e con un target realizzato appositamente, come da immagine.

Il target “%SystemRoot%\system32\rundll32.exe \opengl.dat,DrawThemeIcon” ha lo scopo di eseguire, successivamente al doppio click dell’utente, il secondo file contenuto nella directory chiamato opengl.dat che, nonostante l’estensione molto generica, è una DLL, Dynamic Link Library, una libreria contenente codice e dati utilizzabili da più di un programma contemporaneamente.

Questo file che è una delle più recenti versioni del malware QakBot che, una volta eseguito, prima inietta una propria copia in un processo di sistema e, subito dopo, contatta una lunga serie di server C2 alla ricerca di ulteriori istruzioni.

L’attacco molto probabilmente passa a questo punto nelle mani di un operatore umano che, dopo operazioni di ricognizione, privilege escalation ed eventuale esfiltrazione di dati, lancia il ransomware Black Basta, di cui abbiamo menzionato la collaborazione nell’introduzione. In questo caso, tra l’accesso iniziale e l’esecuzione del ransomware sono passate appena alcune ore.

Inoltre, ricordiamo che è sempre bene affidarsi ad un SOC che opera in ²⁴⁄₇ e che in caso di incident puoi scriverci a sos@cybergon.com.