Le développeur du malware Qakbot, ou une personne ayant accès au code source, semble expérimenter de nouvelles versions car de nouveaux échantillons ont été observés dans les campagnes par e-mail depuis la mi-décembre.
L’une des variantes observées utilise sous Windows un faux programme d’installation d’un produit Adobe pour inciter l’utilisateur à déployer le logiciel malveillant.
Également appelé QBot, le malware a servi pendant de nombreuses années de chargeur pour diverses charges utiles malveillantes, y compris ransowmare, livrées aux victimes principalement par courrier électronique.
Jusqu’à son retrait en août dernier, QBot avait infecté plus de 700 000 systèmes et en seulement 18 mois, il a causé des dommages financiers estimés à plus de 58 millions de dollars.
Baptisée Duck Hunt, l’opération n’a entraîné aucune arrestation, et de nombreux chercheurs en sécurité pensaient que les développeurs de Qakbot reconstruiraient leur infrastructure et relanceraient les campagnes de distribution.
L’année dernière, Cisco Talos a rendu compte d’une campagne Qakbot qui avait commencé avant le retrait et était toujours active début octobre. Les chercheurs pensent que cela a été possible parce que les forces de l’ordre n’ont perturbé que les serveurs de commande et de contrôle du logiciel malveillant, et non l’infrastructure de livraison de spam.
En décembre 2023, Microsoft a observé une campagne de phishing QBot usurpant l’identité de l’IRS, confirmant les craintes concernant le retour du malware.
L’Advanced Threat Response Joint Task Force de Sophos, ou Sophos X-Ops en abrégé, a récemment remarqué une nouvelle activité Qbot, avec jusqu’à 10 nouvelles versions de logiciels malveillants émergeant depuis la mi-décembre.
Les nouveaux développements concernant Qbot ont également été remarqués par les chercheurs de la société de sécurité cloud Zscaler, qui ont publié fin janvier un rapport technique sur le malware et son évolution depuis 2008.
Nouvelles variantes de QBot
Les analystes de Sophos X-Ops ont procédé à l’ingénierie inverse de nouveaux échantillons Qbot, notant de petits incréments dans le numéro de build, ce qui indique que les développeurs testent et affinent les binaires.
Les échantillons de décembre et janvier sont venus en tant qu’installateur de logiciel Microsoft (.MSI) exécutable qui a supprimé un binaire DLL à l’aide d’un .Archives de cabine (armoire Windows).
Cette méthode diffère des versions précédentes qui injectaient du code dans des processus Windows bénins (AtBroker.exe, hébergeur de tâches d’arrière-plan.exe, etc.exe) pour échapper à la détection.
Les nouvelles variantes de Qakbot utilisent des techniques d’obscurcissement améliorées, y compris un cryptage avancé pour masquer les chaînes et la communication de commande et de contrôle (C2).
Plus précisément, le logiciel malveillant utilise le cryptage AES-256 en plus de la méthode XOR observée dans les anciens échantillons.
Le logiciel malveillant vérifie les logiciels de protection des terminaux et a réintroduit des vérifications pour les environnements virtualisés, tentant d’échapper à la détection en entrant dans une boucle infinie s’il se trouve sur une machine virtuelle.
De plus, Qakbot présente une fenêtre contextuelle trompeuse suggérant qu’Adobe Setup est en cours d’exécution sur le système, pour tromper les utilisateurs avec de fausses invites d’installation qui lancent le logiciel malveillant indépendamment de ce sur quoi on clique.
Les chercheurs de Sophos affirment qu’en surveillant de près le développement de QBot, ils peuvent mettre à jour leurs règles de détection et partager des informations cruciales avec d’autres fournisseurs de sécurité.
Bien qu’un petit nombre d’échantillons aient fait surface après la suppression de l’infrastructure C2 de Qbot l’année dernière, les chercheurs estiment que « toute activité des acteurs de la menace pour la ramener mérite une surveillance et un examen minutieux. »