Dopo un periodo di tregua, sta tornando una campagna dannosa che prende di mira le organizzazioni con il pericoloso malware Qbot.
Kaspersky ha identificato una nuova ondata di attività con oltre 1.500 utenti colpiti dal 28 settembre 2022. Tra i Paesi più attaccati ci sono gli Stati Uniti con 193 utenti, seguiti da Italia con 151, Germania con 93 e India con 74 (al 4 ottobre 2022). Kaspersky ha finora scoperto più di 400 siti web infetti che diffondono Qbot.
Come funziona il trojan Qbot?
Qbot è un noto Trojan bancario, in grado di rubare i dati e le e-mail degli utenti dalle reti aziendali infette, di diffondersi ulteriormente nella rete e di installare ransomware o altri Trojan su altri dispositivi della rete. I criminali informatici presumibilmente intercettano le e-mail attive che riguardano conversazioni su questioni di lavoro e inviano ai destinatari un messaggio contenente un link con un file archiviato con una password da scaricare per infettare i loro dispositivi con un trojan bancario. Per convincere gli utenti ad aprire o scaricare il file, gli attaccanti di solito affermano che contiene alcune informazioni importanti, come un’offerta commerciale. Questo schema rende questi messaggi più difficili da individuare e aumenta le probabilità che il destinatario cada nella trappola.
“Imitare la corrispondenza di lavoro è un trucco comune usato dai criminali informatici, ma questa campagna è più complicata in quanto gli attaccanti intercettano una conversazione esistente e si inseriscono al suo interno. Questo metodo rende questi messaggi molto più difficili da individuare e aumenta le probabilità che il destinatario apra i file. Pertanto, i dipendenti dovrebbero prestare particolare attenzione quando comunicano tramite la corrispondenza di lavoro, per evitare di aprire accidentalmente un file dannoso contenente Qbot”, ha affermato Victoria Vlasova, Senior Security Researcher di Kaspersky.
