Logo
Hamburger Menu Icon
Yoroi Background

Nuove Campagne di Attacco Quakbot

09/17/2020

Proto: N030920.

Con la presente Yoroi desidera informarla riguardo ad una nuova campagna di attacco diretta ad utenze e aziende italiane. Gli attacchi si manifestano tramite messaggi di posta fraudolenti che simulano risposte a comunicazioni reali, ingannando l’utente vittima. 

Le email contengono un allegato in formato archivio ZIP contenente un file Excel di tipo binario (.xlsb). Le macro al suo interno sono programmate per installare un impianto malware della famiglia QBot/Quakbot (TH-225), capace di installarsi all’interno del sistema, trafugare credenziali, intercettare ed alterare la navigazione utente e scaricare ulteriori impianti malware.

Figura. Esempio Documento Excel Infetto

Questa particolare minaccia è in grado di dare accesso alla rete interna agli operatori cyber-criminali fautori dell’attacco, aprendo a scenari di attacco come quelli indicati nel bollettino Early Warning N020920. Inoltre, in passato varianti malware QBot sono state utilizzate per veicolare successive intrusioni di rete con l’obiettivo di sferrare attacchi ransomware mirati.

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

  • Malspam:
    • Re: <OLD SUBJECT>
    • Allegato: <RANDOM>.zip
  • Dropurl:
    • http:// donostiayocio[.com/jqmapuowktbb/555555555555.png
    • donostiayocio[.com
    • 108.167.180[.224
  • C2 (qakbot): 
    • 96.227.127[.13:443
    • 98.22.65[.76:443
    • 67.165.206[.193:993
    • 50.244.112.[10:995
    • 72.204.242.[138:465
    • 72.36.59[.46:2222
    • 68.174.15[.223:443
    • 69.11.247[.242:443
    • 75.81.25.[223:443
    • 95.77.223[.148:443
    • 47.146.32[.175:443
    • 50.232.172[.114:443
    • 24.231.54[.185:2222
    • 184.180.157[.203:2222
    • 190.31.192[.182:443
    • 84.47.220.[117:995
    • 96.18.240.[158:443
    • 117.199.14[.80:443
    • 184.97.148[.2:443
    • 207.255.161[.8:993
    • 69.167.206[.238:50001
    • 173.26.189.[151:443
    • 2.90.44.[121:995
    • 78.96.199.[79:443
    • 156.213.179[.139:443
    • 84.232.238[.30:443
    • 213.31.203[.48:2222
    • 36.77.151.[211:443
    • 71.187.170[.235:443
    • 24.218.181[.15:443
    • 199.247.22.[145:443
    • 207.255.161.[8:32100
    • 207.255.161.[8:2078
    • 96.41.93[.96:443
    • 188.51.33.[232:995
    • 50.244.112.[106:443
    • 24.37.178.[158:443
    • 47.28.131[.209:443
    • 141.158.47.[123:443
    • 72.204.242.[138:990
    • 41.228.203[.53:443
    • 72.179.13[.59:443
    • 186.94.5.[67:2078
    • 175.211.225.[118:443
    • 178.222.113.[168:995
    • 50.104.68.[223:443
    • 98.16.204.[189:995
    • 189.231.196[.236:443
    • 67.209.195.[198:443
    • 80.14.209.[42:2222
  • Hash:
    • 632e10dd868e0219d91d7eeca2d7f37047993733bef4d33e50c934c0c60bea93 
    • 52cb3bf8cf971ae747cbdd65a35a64d62f9dd7f25f50497cdf6f79bb7263c366 
    • 43ee8419e9c0b7b4c3c91c3cf124a430869b32c67043e7d63f4c73148afe56eb
    • af3eac4f354906cfdf1319f0646a8bc9e0e49f08284c3c7ef5e0df736b7557c0
    • a0cc1d2194d8641c42431375250c2dc2d47777a1ecc9cb609088df36241dd90d

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram