Nei primi sette mesi del 2021 il numero di utenti attaccati da QakBot, un potente trojan bancario, è cresciuto del 65% rispetto allo stesso periodo del 2020.
Complessivamente sono stati attaccati 17.316 utenti in tutto il mondo, a dimostrazione che questa minaccia si sta diffondendo sempre di più. Questo incremento ha attirato l'attenzione dei ricercatori di Kaspersky, che hanno indagato sugli aggiornamenti dell'ultima versione di questo Trojan.
I trojan bancari, quando infettano un computer, consentono ai criminali informatici di rubare denaro dai conti bancari online della vittima e dai rispettivi portafogli elettronici: per questo motivo vengono considerati come uno dei malware più pericolosi. QakBot è stato identificato nel 2007 insieme a molti altri trojan bancari. Tuttavia, negli ultimi anni, lo sviluppatore di QakBot ha investito molto nel suo sviluppo, trasformando questo Trojan in uno dei più potenti e pericolosi malware della sua categoria.
Oltre alle funzioni che già altri trojan bancari utilizzano, come keylogging e furto di cookie, password e dati di accesso; le versioni recenti di QakBot includono nuove funzionalità e tecniche che gli consentono di rilevare se è in esecuzione in un ambiente virtuale. Questa funzione viene spesso utilizzata da soluzioni di sicurezza e anti-malware per identificare i malware attraverso il loro comportamento. QakBot è in grado di rilevare la sua esecuzione in un ambiente virtuale, e può interrompere attività sospette o anche smettere di funzionare completamente. Inoltre, QakBot è capace di proteggersi dall'analisi e dal debug di esperti e strumenti automatizzati.
Un’ulteriore e insolita funzione individuata dai ricercatori di Kaspersky nelle recenti versioni di QakBot è la sua capacità di rubare le email dai device che attacca. Queste email vengono poi sfruttate per varie campagne di ingegneria sociale, rivolte agli utenti trovati nell’elenco dei contatti della vittima.
Haim Zigel, malware analyst di Kaspersky ha spiegato che “È improbabile che QakBot interrompa la sua attività in tempi brevi. Questo malware viene continuamente aggiornato, e i threat actor che lo controllano continuano ad aggiungere nuove funzionalità e ad aggiornare i suoi moduli al fine di massimizzare le entrate, oltre che a continuare a rubare dati e informazioni. In passato abbiamo visto QakBot diffondersi attivamente tramite la botnet Emotet. Questa botnet è stata rimossa all'inizio dell’anno, ma a giudicare dalle statistiche sui tentativi di infezione, che sono cresciute rispetto allo scorso anno, i criminali dietro QakBot hanno trovato un nuovo modo di diffondere questo software dannoso”.
Per proteggersi dai Trojan bancari come QakBot, gli esperti di Kaspersky consigliano di osservare 4 misure prudenziali:
- Non aprire i link contenuti nei messaggi di spam, né i documenti ad essi allegati.
- Utilizzare l'online banking con soluzioni di autenticazione a più fattori.
- Assicurarsi che tutti i propri software siano aggiornati, inclusi il sistema operativo e tutte le applicazioni, in quanto i criminali informatici sfruttano le vulnerabilità dei programmi più comuni per ottenere l'accesso ai dispositivi.
- Utilizzare una soluzione di sicurezza affidabile, che verifichi la sicurezza degli URL e che apra i siti Internet in un’ambiente protetto per prevenire il furto di dati sensibili (come i dati bancari).