Il malware Qakbot viene diffuso dagli hacker mediante falsi file di OneNote per rubare i dati degli utenti e prendere il controllo del PC.
I ricercatori di Sophos hanno scoperto una campagna di phishing che utilizza un malware chiamato Qakbot. Viene inviata una e-mail contenente un allegato, un file .one, che induce il destinatario a credere che qualcuno di sua conoscenza voglia condividere un documento OneNote. Quando il destinatario fa clic sull’allegato, viene visualizzata una pagina di OneNote in cui si legge: “Questo documento contiene allegati provenienti dal cloud. Per riceverli, fare doppio clic su Apri.” Se si fa clic su apri, iniziano i problemi.
A questo punto infatti l’applicazione HTML eseguita scaricherà il codice dannoso di Qakbot da un server remoto e lo eseguirà sul computer dell’utente. Per non essere individuati dai software antivirus, i file importati fingono di essere immagini ma in realtà si tratta di DLL progettate per eseguire script dannosi e infettare le applicazioni del sistema Windows.
Sophos afferma: “Se non siete sicuri […] prendete il tempo di chiamare o mandare un messaggio al mittente e assicuratevi che vi abbia effettivamente inviato il documento.” Questo sembra essere il modo migliore e più semplice per non essere infettati, ma purtroppo potrebbe non essere sufficiente. Pare infatti che Qakbot abbia addirittura la capacità di inserire messaggi nel mezzo di conversazioni esistenti, citare messaggi precedenti e confondere così gli utenti.
L’uso dei file OneNote per infettare i computer Windows sembra essere una tecnica molto recente, dato che Sophos stima che questa campagna sia iniziata il 31 gennaio 2023, mentre il vettore dell’infezione, Qakbot, è noto da prima. Il malware può essere utilizzato per rubare i dati degli utenti o per prendere il controllo di un PC.
Il consiglio di base è anche quello più semplice: prestare la massima attenzione!