Milano, 3 settembre 2021
Nei primi sette mesi del 2021 il numero di utenti attaccati da QakBot, un potente trojan bancario, è cresciuto del 65% rispetto allo stesso periodo del 2020. Complessivamente sono stati attaccati 17.316 utenti in tutto il mondo, a dimostrazione che questa minaccia si sta diffondendo sempre di più. Questo incremento ha attirato l'attenzione dei ricercatori di Kaspersky, che hanno indagato sugli aggiornamenti dell'ultima versione di questo Trojan.
Numero di utenti Kaspersky che hanno subito un attacco da QakBot nei primi sette mesi del 2020 a confronto con i primi sette mesi del 2021 (fonte: Kaspersky Security Network)
I trojan bancari, quando infettano un computer, consentono ai criminali informatici di rubare denaro dai conti bancari online della vittima e dai rispettivi portafogli elettronici: per questo motivo vengono considerati come uno dei malware più pericolosi. QakBot è stato identificato nel 2007 insieme a molti altri trojan bancari. Tuttavia, negli ultimi anni, lo sviluppatore di QakBot ha investito molto nel suo sviluppo, trasformando questo Trojan in uno dei più potenti e pericolosi malware della sua categoria.
Oltre alle funzioni che già altri trojan bancari utilizzano, come keylogging e furto di cookie, password e dati di accesso; le versioni recenti di QakBot includono nuove funzionalità e tecniche che gli consentono di rilevare se è in esecuzione in un ambiente virtuale. Questa funzione viene spesso utilizzata da soluzioni di sicurezza e anti-malware per identificare i malware attraverso il loro comportamento. QakBot è in grado di rilevare la sua esecuzione in un ambiente virtuale, e può interrompere attività sospette o anche smettere di funzionare completamente. Inoltre, QakBot è capace di proteggersi dall'analisi e dal debug di esperti e strumenti automatizzati.
Un’ulteriore e insolita funzione individuata dai ricercatori di Kaspersky nelle recenti versioni di QakBot è la sua capacità di rubare le email dai device che attacca. Queste email vengono poi sfruttate per varie campagne di ingegneria sociale, rivolte agli utenti trovati nell'elenco dei contatti della vittima.
“È improbabile che QakBot interrompa la sua attività in tempi brevi. Questo malware viene continuamente aggiornato, e i threat actor che lo controllano continuano ad aggiungere nuove funzionalità e ad aggiornare i suoi moduli al fine di massimizzare le entrate, oltre che a continuare a rubare dati e informazioni. In passato abbiamo visto QakBot diffondersi attivamente tramite la botnet Emotet. Questa botnet è stata rimossa all'inizio dell'anno, ma a giudicare dalle statistiche sui tentativi di infezione, che sono cresciute rispetto allo scorso anno, i criminali dietro QakBot hanno trovato un nuovo modo di diffondere questo software dannoso", ha commentato Haim Zigel, malware analyst di Kaspersky.
Le soluzioni di sicurezza Kaspersky rilevano e bloccano con successo tutte le versioni conosciute del Trojan bancario QakBot.
Per ulteriori informazioni su QakBot, è possibile visitare Securelist.
Per proteggersi dai Trojan bancari come QakBot, gli esperti di Kaspersky consigliano di:
o Non aprire i link contenuti nei messaggi di spam, né i documenti ad essi allegati.
o Utilizzare l'online banking con soluzioni di autenticazione a più fattori.
o Assicurarsi che tutti i propri software siano aggiornati, inclusi il sistema operativo e tutte le applicazioni, in quanto i criminali informatici sfruttano le vulnerabilità dei programmi più comuni per ottenere l'accesso ai dispositivi.
o Utilizzare una soluzione di sicurezza affidabile, che verifichi la sicurezza degli URL e che apra i siti Internet in un’ambiente protetto per prevenire il furto di dati sensibili (come i dati bancari).
