Riepilogo

Il laboratorio di sicurezza Hornetsecurity ha rilevato l’utilizzo di macro XLM all’interno di documenti XLSB per distribuire il malware QakBot. Poiché entrambe le macro XLM e il formato del documento XLSB sono rari, questi nuovi documenti dannosi hanno un tasso di rilevamento statico molto basso dalle attuali soluzioni antivirus.

Sfondo

QakBot (noto anche come QBot, QuakBot, Pinkslipbot) è stato intorno dal 2008. È distribuito tramite Emotet, cioè, Emotet scaricherà il caricatore di QakBot su vittime che sono già infettate con Emotet. Ma è anche distribuito direttamente via e-mail. A tal fine, utilizza il dirottamento del thread di conversazione e-mail nelle sue campaigns1, cioè risponderà alle e-mail che trova nelle cassette postali della sua vittima. QakBot è noto per intensificare le intrusioni scaricando il ransomware2 ProLock.

La seguente cronologia mostra gli eventi recenti relativi a QakBot:

Timeline dell'evento QakBot

La catena di infezione di QakBot è la seguente:

La catena di infezione di QakBot

QakBot ha utilizzato le macro XLM (note anche come macro di Excel 4) per un po ‘ di tranquillità.

Analisi tecnica

Il 2020-10-15 intorno alle 12:40 UTC è stata osservata una campagna malspam che distribuiva QakBot utilizzando documenti XLSB.

XLSB è un file di cartella di lavoro binario di Excel. Il suo uso principale è quello di rendere la lettura e la scrittura sul file molto più veloce e riducendo le dimensioni di fogli di calcolo molto grandi. Tuttavia, con l’attuale potenza di calcolo e la disponibilità di archiviazione, la necessità di questo formato binario è diminuita e oggi sono raramente utilizzati.

Combinando questo con le macro XLM antiche e quindi non molto ben rilevate, i documenti correnti non vengono riconosciuti da alcun AV elencato su VirusTotal:

Documento QakBot XLSB non rilevato su VirusTotal

Anche gli strumenti di analisi malware per documenti comuni come OLEVBA non riconoscono le macro XLM nel formato XLSB:

Documento QakBot XLSB non rilevato da OLEVBA

Tuttavia, il supporto per le macro XLM nei file XLSB è su roadmap3 di OLEVBA.

Anche lo strumento XLMMacroDeobfuscator (specializzato nell’analisi di macro XLM dannose), che supporta il formato XLSB4, ha problemi con il file XLSB di QakBot:

QakBot documento XLSB non rilevato da XLMMacroDeobfuscator

Ma come al solito il bug in XLMMacroDeobfuscator è stato rapidamente lavorato5.

Il QakBot i file XLSB sono consegnati tramite il classico QakBot email thread di conversazione hijacking1 in un file ZIP allegato:

QakBot email consegna XLSB

il file ZIP contiene Il XLSB documento, che quando ha aperto finge di essere cifrato con DocuSign e l’utente deve Attivare la Modifica” e “Attiva il Contenuto” decifrare:

QakBot XLSB documento

Quando l’utente fa un Auto_Open macro XLM nel documento viene lanciato, che scarica il QakBot loader:

QakBot macro XLM

L’URL è un assemblato tramite la macro XLM e finge di scaricare un file PNG:

QakBot loader download travestito da PNG download

In realtà il file PNG è il QakBot loader eseguibile. Hornetsecurity ha precedentemente riportato sul caricatore QakBot e follow-up di malware come ProLock ransomware2.

Conclusione e Contromisura

Come il riemergere delle antiche e oggi meno comuni macro XLM utilizzate da attori malintenzionati, l’uso dei documenti XLSB non comuni porta di nuovo a tassi di rilevamento più bassi da parte delle soluzioni di sicurezza, che sono per lo più focalizzate sul più comune malware macro VBA moderno.

Tuttavia, il rapido tempo di risposta di Hornetsecurity alle nuove minacce emergenti e la protezione da malware zero-day offrono ai propri clienti uno scudo robusto contro campagne malspam mai viste prima e nuovi tipi di attacco. Gli utenti della protezione antispam e malware di Hornetsecurity sono protetti dal documento QakBot XLSB.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002 – File Dannoso
TA0003 – Persistenza T1053.005 – Attività Pianificata
TA0003 – Persistenza T1547.001 – Registro Chiavi Run / Cartella di Avvio
TA0004 – Privilege Escalation T1053.005 – Attività Pianificata
TA0005 – Difesa Evasione T1027.002 – Imballaggio Software
TA0005 – Difesa Evasione T1055 – Processo di Iniezione
TA0005 – Difesa Evasione T1055.012 – Processo di Svuotare
TA0005 – Difesa Evasione T1497.001 – Controlli di Sistema
TA0006 – Credenziali di Accesso T1003 – OS Credenziali di Dumping
TA0006 – Credenziali di Accesso T1110.001 – Indovinare la Password
TA0006 – Credenziali di Accesso T1555.003 – Credenziali da Browser Web
TA0007 – Scoperta T1016 di Sistema Configurazione di Rete Scoperta
TA0011 – Comando e Controllo T1071.001 – Protocolli Web
TA0011 – Comando e Controllo T1090 – Proxy
TA0011 – Comando e Controllo T1090.002 – Proxy Esterno