{"id":25092,"date":"2021-07-12T13:25:41","date_gmt":"2021-07-12T11:25:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25092"},"modified":"2021-07-19T11:30:36","modified_gmt":"2021-07-19T09:30:36","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/icedid-qbot-banking-trojans-in-spam\/25092\/","title":{"rendered":"Trojan bancari in un wrapper aziendale"},"content":{"rendered":"

Per gli impiegati che devono gestire centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico pu\u00f2 essere forte. I criminali informatici, naturalmente, se ne approfittano e inviano documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, da link di phishing<\/a> a malware. I nostri esperti hanno recentemente scoperto<\/a> due campagne di spam molto simili che distribuiscono i Trojan bancari<\/a> IcedID e Qbot.<\/p>\n

Spam con documenti dannosi<\/h2>\n

Entrambe le e-mail sembravano della normale corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per un qualche motivo (fraudolento) o menzionavano l\u2019annullamento di un\u2019operazione. Allegato al messaggio c\u2019era un file Excel in formato zip chiamato CompensationClaim pi\u00f9 una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web hackerato dove si trovava l\u2019archivio contenente il documento.<\/p>\n

In entrambi i casi, l\u2019obiettivo dei cybercriminali era quello di convincere il destinatario ad aprire il file Excel dannoso e a eseguire la macro in esso contenuta, scaricando cos\u00ec il Trojan IcedID (o talvolta Qbot) sul dispositivo della vittima.<\/p>\n

<\/strong><\/p>\n

IcedID e Qbot<\/h2>\n

I Trojan bancari IcedID e Qbot sono in circolazione da anni; IcedID ha attirato per la prima volta l\u2019attenzione dei ricercatori<\/a> nel 2017 e Qbot \u00e8 invece attivo dal 2008<\/a>. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un\u2019immagine PNG utilizzando una tecnica chiamata steganografia<\/a>, che \u00e8 piuttosto difficile da rilevare.<\/p>\n

Oggi, entrambi i programmi malware sono disponibili sui mercati nascosti; oltre ai loro creatori, ci sono numerosi client che distribuiscono i Trojan. Il compito principale del malware \u00e8 quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:<\/p>\n