Virus pc, attenzione al nuovo trojan che sfrutta Windows Installer

Virus pc, Qbot è il trojan che sfrutta attenzione Windows per diffondersi: attenzione alle email che riceviamo e ai tipi di allegati

Virus Trojan Qbot
foto social

Ai più esperti e appassionati in materia è ormai noto il trojan bancario botnet Qbot che ora sperimenta un nuovo modo per diffondere e contagiare con il proprio payload dannoso che contiene il malware. Ha trovato un terreno fertile nello sfruttamento di archivi Zip protetti da password che all’interno hanno pacchetti MSI Windows Installer, che vengono distribuiti mediante e-mail di phishing.

Quando intacca il sistema ed è attivo, l’Qbot è in grado di spiare le nostre attività sul sistema, segue tutte le operazioni e dunque rubare facilmente le credenziali bancarie e tutte le informazioni personali di cui hanno bisogno di hacker che hanno procettato tutto per i loro fini illeciti.

Il rilascio dei payload dannosi per Qbot finora è sempre avvenuto con documenti di Microsoft Office contenenti macro pericolose. Adesso, e per la prima volta, c’è un cambio da parte degli ideatori che scelgono un altra via per raggiungere i propri obiettivi.

Virus Trojan Qbot, ora utilizza i file compressi

Una funzione importante per intallare il tutto è sempre detenuto dalle e-mail di phishing che però ora possono arrivare presentando al loro interno non solo il classico file Excel (ovviamente falso) con il quale ormai abbiamo – almeno si spera – imparato a riconoscere, strumento per diffondere il malware. Ora gli allegati sono file di archivio compressi con all’interno quello file di installazione utilizzato nei sistemi Windows ossia MSI Windows Installer.

Chi ci mette in guardia nell’ambito della sicurezza informatica ritiene che questo modo possa essere una reazione a Microsoft che nel mese di febbraio aveva annunciato azioni per interrompere la trasmissione di malware che utilizza le macro di VBA Office dopo aver disattivato quelle di di Excel 4.0 (XLM) per impostazione predefinita a gennaio.

Proprio all’inizio del mese corrente Microsoft ha iniziato a implementare la funzionalità di blocco automatico delle macro VBA per tutti gli uttendi del noto pacchetto Offic dalla versione 2203 nel branch di sviluppo attuale ma anche per alcune versioni precedenti.

Un cambiamento attuato dalla Microsoft che come afferma Bleeping Computer si tratta di un grande miglioramento che alza di molto le barriere della sicurezza a favore degli utenti perché le macro VBA pericolose nascoste nei documenti di Office sono usate di continuo nelle campagne di phishing che hanno precificamente l’obiettivo di per diffondere vari ceppi di malware.