Analisi tecnica del Malware Hunter JAMESWT

Quakbot sfrutta xls malevoli armati con SilentBuilder. L’ultima campagna signed usa i certificati aziendali di SHOECORP LIMITED per ingannare gli anti virus e scaricare il malware

La campagna “signed” globale di Quakbot si evolve ancora e comincia a usare anche file xls malevoli, armati con SilentBuilder. L’ultima azienda sfruttata è SHOECORP LIMITED. I suoi certificati sono stati sfruttati per firmare l’allegato Excel, un file eseguibile. L’obiettivo è ingannare l’antivirus e consentire alle vittime di scaricare e installare il malware tramite l’attachment e un link che scarica una dll, da cui si avvia la catena d’infezione. QuakBot (alias Qbot) è un trojan bancario modulare del cybercrime, noto per prendere di mira le aziende. Obiettivo: rubare denaro dai loro conti bancari online. È dotato di funzionalità worm per la replica automatica tramite unità condivise e supporti rimovibili. Il codice utilizza potenti funzionalità info-stealer per spiare l’attività bancaria degli utenti.

I C2