L’allegato GZ della mail ne contiene uno zip protetto da password (non fornita nel testo), con all’interno un exe: il malware stesso. Non si sa quale sia il payload successivo.
Cybercrime, Quakbot sfrutta xls malevoli armati con SilentBuilder
Analisi tecnica del Malware Hunter JAMESWT
Quakbot sfrutta xls malevoli armati con SilentBuilder. L’ultima campagna signed usa i certificati aziendali di SHOECORP LIMITED per ingannare gli anti virus e scaricare il malware
La campagna “signed” globale di Quakbot si evolve ancora e comincia a usare anche file xls malevoli, armati con SilentBuilder. L’ultima azienda sfruttata è SHOECORP LIMITED. I suoi certificati sono stati sfruttati per firmare l’allegato Excel, un file eseguibile. L’obiettivo è ingannare l’antivirus e consentire alle vittime di scaricare e installare il malware tramite l’attachment e un link che scarica una dll, da cui si avvia la catena d’infezione. QuakBot (alias Qbot) è un trojan bancario modulare del cybercrime, noto per prendere di mira le aziende. Obiettivo: rubare denaro dai loro conti bancari online. È dotato di funzionalità worm per la replica automatica tramite unità condivise e supporti rimovibili. Il codice utilizza potenti funzionalità info-stealer per spiare l’attività bancaria degli utenti.
I C2