Esiste un trojan chiamato QakBot che attacca gli utenti di Windows Active Directory e blocca migliaia di utenti di Active Directory che hanno un forte impatto per le organizzazioni in termini di accesso alle loro risorse in rete.
Qakbot influenza le principali operazioni di Windows Active Directory, inclusi l’autenticazione e l’autorizzazione, i servizi certificati, i servizi federati e i servizi di gestione dei diritti.
Secondo IBM X-Force Research, QakBot è un malware finanziario noto per violare i conti bancari online. Il malware dispone delle funzionalità di un worm. Utilizza potenti funzionalità per esplorare l’attività bancaria degli utenti e, alla fine, rubare grandi somme di denaro.
Qakbot può creare backdoor
Microsoft ha scoperto che QakBot ha anche la capacità di creare backdoor per rubare le informazioni degli utenti come ad esempio i dati bancari, con username e password di posta elettronica.
È anche dotato di altre funzionalità, come superare le protezioni degli antivirus. L’infezione “media” di Qakbot riguarda i network, le unità rimovibili e le USB flash driver.
IBM Intelligence Security afferma che questa è la prima volta che Qakbot attacca Windows Active Directory.
Qakbot infetta tramite Dropper
Lo scopo di Dropper è quello di consegnare un payload ad un computer di destinazione. Quando viene eseguito il Dropper, il suo comando conduce semplicemente all’esecuzione, quindi estrae il malware e lo scrive nel file system.
La maggior parte dei Dropper sono usati con i trojan per ritardare il tempo in cui il virus viene eseguito. Questa è una tecnica che permette di evitare la rivelazione.
Successivamente viene aperta un’istanza explorer.exe ed inserisce dei DLL infettati con Qakbot.
Come funziona la memorizzazione delle credenziali
Un comando remoto dal server permette di diffondere attraverso la rete interessata un comando chiamato “nbscan”.
«Per accedere e infettare altre macchine della rete, il malware utilizza le credenziali dell’utente e una combinazione di credenziali di accesso e di dominio degli stessi utenti, che possono essere ottenute dal domain controller» afferma IBM.
«Può memorizzare il nome utente del computer infetto e utilizzarlo per tentare di accedere ad altre macchine del dominio. Se il malware non elabora i nomi utente dal domain controller e dalla macchina di destinazione, il malware utilizzerà invece un elenco di nomi utente prestabiliti».