QakBot, il fatidico malware, ha riattirato l’attenzione degli utenti, anche se sradicato in precedenza dall’FBI (Federal Bureau of Investigation). QakBot ha iniziato a ripresentarsi da lunedì scorso anche se non era più stato rilevato dopo il suo annientamento. Adesso si dovranno rimettere al lavoro per annientarlo nuovamente.
QakBot: che cosa è e cosa fa questo malware?
Il malware QakBot ha preso piede nella rete nel lontano 2008 sotto modello di trojan bancario, agisce più specificamente sul settore bancario. Ovvero la sua direzione è mirata alle credenziali di accesso che noi abbiamo per accedere a qualche servizio bancario. QakBot ha avuto e continua ad avere non solo la reputazione come malware che ruba le credenziali di accesso, ma anche come distributore di altri malware per avere più controllo delle reti informatiche ed avere libero accesso a varie credenziali dei vari utenti. Gli attacchi principali di questo malware avvengono sotto la forma di phishing.
Il phishing è un tipo di truffa proposta dal malware che si basa sull’ottenimento dei dati e credenziali dell’utente come obbiettivo, spacciandosi per pagine di accesso online affidabili di varie aziende dove sarà richiesto l’inserimento dei dati. Queste pagine sono delle repliche quasi perfette della pagina ufficiale della società che offrono dei servizi. Le campagne ransomware che hanno sfruttato QakBot sono ProLock, Conti, Egregor, REvil, RamsomExx, MegaCortex, Black Basta e BlackCat/ALPHV.
Principalmente il malware QakBot si diffonde via email che sembra essere inviata da Internal Revenue Service in USA. Questa “società” sarebbe il presunto fisco statunitense. All’interno della mail c’è un file PDF che contiene “elenco degli ospiti” al quale non è possibile leggerlo, nella pagina c’è un link per scaricare il file PDF in caso ci fossero dei problemi sulla visualizzazione. Scaricando da quel link il QakBot avrà accesso al nostro computer entrando direttamente in memoria. Adesso si sta lavorando per annientare nuovamente questo malware.