Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

il trojan bancario QBot usa la tecnica dello Smuggling dell'HTML per colpire gli utenti
- LUNEDÌ 14 NOVEMBRE 2022


QBot, conosciuto anche come Qakbot, QuackBot o Pinkslipbot è un trojan bancario osservato per la prima volta nel 2007. Oggi Qbot è una minaccia persistente contro le aziende ed ha conquistato un posto stabile nel novero dei più importanti e pericolosi trojan bancari. Nel corso degli anni ha cambiato la tecnica iniziale di attacco per distribuire payload: dalle macro VBA, alle macro Excel 4, all'exploit di vulnerabilità come Follina ecc..

Recentemente i nostri Quick Heal Security Labs  hanno individuato una nuova tecnica di attacco da parte di Qbot, chiamata "Smuggling dell'HTML" o per renderlo in italiano "contrabbando dell'HTML". Ecco i dettagli

Che cosa è un attacco di Smuggling dell'HTML?

Lo Smuggling dell'HTML è un attacco vettore nel quale un attaccante "contrabbanda" script dannosi criptati o payload integrati. Per farlo, vengono sfruttati documenti HTML 5 o script JavaScript. 

Esistono più modi per attaccare una vittima utilizzando questa tecnica:
  • usando un tag anchor:
    il tag anchor HTML "a" definisce un collegamento ipertestuale che collega una pagina ad un'altra. Crea un hyperlnk a una altra pagina web, file, location o verso qualsiasi URL. Anche per scaricare un file ospitato su un qualsiasi server si può usare un tag anchor. Ad esempio
  • usando un blob Javascript:
    i blob Javascript sono oggetti composti da una raccolta di byte contenenti i dati archiviati in un file. I dati BLOB vengono archiviati nella memoria dell'utente. Queste raccolte di dati sono usate "nello stesso posto"  in cui sarebbe stato usato un altro file già presente. In altre parole i Blob possono essere usati per costruire oggetti simili a file su  un client: questi file possono essere poi passati nelle API JavaScript che prevedono l'uso di URL. Ad esempio, i byte del file payload.exe possono essere forniti come input JS in un Blob JS: il blob può così essere compilato e scaricato sul lato utente;

  • l'uso di elementi integrati:
    questa tecnica consiste nell'integrare in un documento HTML applicazioni esterne, che generalmente sono contenuti multimediali come audio e video. Questi documenti HTML possono quindi essere usati come contenitori per plugin-in integrati, come le animazioni flash. 

Smuggling dell'HTML: perché questa tecnica è così utilizzata?

Quando la vittima apre il documento HTML, questo decripta i file integrati e li salva localmente. A causa di questi pattern criptati, nessun contenuto dannoso passa attraverso la rete, aggirando filtri di rete e firewall: il file dannoso viene infatti "composto" direttamente sulla macchina della vittima. Ecco spiegato il grande successo di questa tipologia di attacco. 

Qbot: la catena di infezione


In uno dei documenti analizzati, i nostri ricercatori hanno scoperto che un elemento HTML integrato è stato creato con il metodo “document.createElement”. Una tecnica furba per distribuire i payload in archivi ZIP. Nell'immagine sotto si possono vedere i dati criptati in base64 per il file ZIP


Durante l'apertura del file HTML, l'utente viene indotto a pensare tramite alcune schermate fake di stare scaricando un file ZIP: lo ZIP invece è già integrato nel file HTML. Nell'immagine si vede anche la password di questo archivio "abc555".


Una volta estratto il file ZIP, ecco il file immagine ”REJ_2975” che, di nuovo, contiene a sua volta moltissimi file. 


Il file REJ è quello responsabile del condurre ulteriormente l'attacco. Lo scopo di questo file è infatti quello di eseguire lo script "riprocessato" nella cartella "oslo". Successivamente, lo script eseguirà il loader DLL finale di Qbot, chiamato “counteractively.dat”, come mostrato in figura


Il payload viene quindi iniettato in wermgr.exe


Qbot: analisi della DLL

Il loader DLL di Qbot in questo caso è un binario a 32bit compilato in Delphi, senza funzioni di esportazione

Come Qbot ottiene la persistenza

Qbot usa il registro di sistema e l'auto replicazione per ottenere la persistenza. Una volta che il payload viene eseguito, Qbot ottiene la persistenza con due passaggi:
  • copia sé stesso nella cartella %AppData%\Roaming\Microsoft\{RandomStrings};
  • crea una voce di registro che punta sul payload.
La creazione della cartella e la DLL sono caricate tramite regsvr32.exe:



Comunicazioni C2

Come mostrato sotto, il processo wermgr.exe esegue connessioni ai seguenti IP "hard coded"


Per concludere

Disabilitare JavaScript, nella maggior parte degli ambienti, non è fattibile perché troppi sistemi e applicazioni web legittime ne fanno uso. In aggiunta a ciò, molti framework JavaScript legittimi usano tecniche di offuscamento per minimizzare le dimensioni dei file e migliorare la velocità delle applicazioni web. Insomma, bloccare i JavaScript offuscati non è un'opzione pratica. 

Di conseguenza, si consiglia agli utenti di prestare massima attenzione alle email sospette con allegati HTML. Le funzionalità di protezione degli antivirus Quick Heal mettono al riparo da questa tipologia di rischio. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 4 NOVEMBRE 2022
Report 3° trimestre 2022 sulle minacce informatiche. I malware per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 3° trimestre 2022. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

P.IVA: 05345670482
Telefono: 055430352
distribuito da
© 2022 nwk - Privacy Policy - Cookie Policy - Login