QakBot: il nuovo malware attacca milioni di Active Directory di Windows

QakBot: il nuovo malware attacca migliaia di Active Directory di Windows

 

Esiste un trojan chiamato QakBot che attacca gli utenti di Windows Active Directory e blocca migliaia di utenti di Active Directory che hanno un forte impatto per le organizzazioni in termini di accesso alle loro risorse in rete.

Qakbot influenza le principali operazioni di Windows Active Directory, inclusi l’autenticazione e l’autorizzazione, i servizi certificati, i servizi federati e i servizi di gestione dei diritti.

Secondo IBM X-Force Research, QakBot è un malware finanziario noto per violare i conti bancari online. Il malware dispone delle funzionalità di un worm. Utilizza potenti funzionalità per esplorare l’attività bancaria degli utenti e, alla fine, rubare grandi somme di denaro.

Qakbot può creare backdoor

Microsoft ha scoperto che QakBot ha anche la capacità di creare backdoor per rubare le informazioni degli utenti come ad esempio i dati bancari, con username e password di posta elettronica.

È anche dotato di altre funzionalità, come superare le protezioni degli antivirus. L’infezione “media” di Qakbot riguarda i network, le unità rimovibili e le USB flash driver.

IBM Intelligence Security afferma che questa è la prima volta che Qakbot attacca Windows Active Directory.

Qakbot infetta tramite Dropper

Lo scopo di Dropper è quello di consegnare un payload ad un computer di destinazione. Quando viene eseguito il Dropper, il suo comando conduce semplicemente all’esecuzione, quindi estrae il malware e lo scrive nel file system.

La maggior parte dei Dropper sono usati con i trojan per ritardare il tempo in cui il virus viene eseguito. Questa è una tecnica che permette di evitare la rivelazione.

Successivamente viene aperta un’istanza explorer.exe ed inserisce dei DLL infettati con Qakbot.

Come funziona la memorizzazione delle credenziali

Un comando remoto dal server permette di  diffondere attraverso la rete interessata un comando chiamato “nbscan”.

«Per accedere e infettare altre macchine della rete, il malware utilizza le credenziali dell’utente e una combinazione di credenziali di accesso e di dominio degli stessi utenti, che possono essere ottenute dal domain controller» afferma IBM.

«Può memorizzare il nome utente del computer infetto e utilizzarlo per tentare di accedere ad altre macchine del dominio. Se il malware non elabora i nomi utente dal domain controller e dalla macchina di destinazione, il malware utilizzerà invece un elenco di nomi utente prestabiliti».

Fonte

 

 

Se questo articolo ti è piaciuto e vuoi rimanere informato iscriviti al nostro Canale Telegram o
seguici su Google News
.
Inoltre per supportarci puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, se vuoi
segnalare un refuso Contattaci qui .


Autore dell'articolo: Cesare Di Simone

Passione sfrenata per tutto ciò che è tecnologico utente di lungo corso Android e sostenitore di tutto ciò che è open-source e collateralmente amante del mondo Linux. Amante della formula uno e appassionato dell'occulto. Sono appassionato di oroscopo mi piace andare a vedere cosa dicono le stelle quotidianamente.