Le malware QakBot est à nouveau distribué dans des campagnes de phishing après que le botnet a été perturbé par les forces de l’ordre au cours de l’été.

En août, une opération multinationale d’application de la loi appelée Operation Duck Hunt a accédé aux serveurs de l’administrateur de QakBot et a cartographié l’infrastructure du botnet.

Après avoir eu accès aux clés de cryptage du botnet utilisées pour la communication de logiciels malveillants, le FBI a pu détourner le botnet pour envoyer un module DLL Windows personnalisé aux appareils infectés. Cette DLL a exécuté une commande qui a mis fin au logiciel malveillant QakBot, perturbant efficacement le botnet.

Alors qu’un service de phishing utilisé pour distribuer le logiciel malveillant Qbot a connu une activité depuis la perturbation, il n’y a eu aucune distribution du logiciel malveillant QakBot jusqu’à lundi dernier, lorsque la nouvelle campagne de phishing a commencé.

Retours de bots QAK
Microsoft avertit maintenant que QakBot est à nouveau distribué dans le cadre d’une campagne de phishing prétendant être un e-mail d’un employé de l’IRS.

Microsoft affirme avoir observé pour la première fois l’attaque de phishing le 11 décembre dans le cadre d’une petite campagne ciblant le secteur de l’hôtellerie.

Nouveaux e-mails de phishing Qakbot usurpant l’identité de l’IRS

Joint à l’e-mail se trouve un fichier PDF prétendant être une liste d’invités qui indique « L’aperçu du document n’est pas disponible », puis invite l’utilisateur à télécharger le PDF pour l’afficher correctement.

Cependant, en cliquant sur le bouton de téléchargement, les destinataires téléchargeront un MSI qui, une fois installé, lancera la DLL du logiciel malveillant Qakbot en mémoire.

Microsoft indique que la DLL a été générée le 11 décembre, le jour même du début de la campagne de phishing, et utilise un code de campagne de « tchk06 » et des serveurs de commande et de contrôle au 45.138.74.191:443 et 65.108.218.24:443.

« Plus particulièrement, la charge utile Qakbot livrée a été configurée avec la version inédite 0x500 », a tweeté Microsoft, indiquant le développement continu du logiciel malveillant.

Les chercheurs en sécurité Pim Trouerbach et Tommy Madjar ont également confirmé que la charge utile Qakbot distribuée est nouvelle, avec quelques modifications mineures.

Trouerbach a déclaré à Breachtrace qu’il y avait des changements mineurs dans la nouvelle DLL QakBot, y compris l’utilisation d’AES pour déchiffrer les chaînes plutôt que XOR dans la version précédente.

De plus, Trouerbach pense que la nouvelle version est encore en cours de développement car elle contient des bugs inhabituels.

Comme Trouerbach l’a tweeté, après qu’Emotet a été perturbé par les forces de l’ordre en 2021, les acteurs de la menace ont tenté de relancer leur botnet avec peu de succès.

Bien qu’il soit trop tôt pour dire si Qbot aura du mal à retrouver son ancienne taille, les administrateurs et les utilisateurs doivent être à l’affût des e-mails de phishing en chaîne de réponses qui sont couramment utilisés pour distribuer le logiciel malveillant.

Qu’est-ce que le malware Qbot
QakBot, alias Qbot, a débuté en tant que cheval de Troie bancaire en 2008, les développeurs de logiciels malveillants l’utilisant pour voler des informations d’identification bancaires, des cookies de sites Web et des cartes de crédit afin de commettre une fraude financière.

Au fil du temps, le logiciel malveillant a évolué pour devenir un service de distribution de logiciels malveillants, en partenariat avec d’autres acteurs de la menace pour fournir un accès initial aux réseaux pour mener des attaques de ransomware, de l’espionnage ou du vol de données.

Qakbot est distribué par le biais de campagnes de phishing qui utilisent une variété de leurres, y compris des attaques par e-mail en chaîne de réponse, c’est-à-dire lorsque les acteurs de la menace utilisent un fil de messagerie volé, puis y répondent avec leur propre message et un document malveillant joint.

Ces e-mails incluent généralement des documents malveillants sous forme de pièces jointes ou de liens pour télécharger des fichiers malveillants qui installent le logiciel malveillant Qakbot sur l’appareil d’un utilisateur.

Ces documents changent d’une campagne de phishing à l’autre et vont des documents Word ou Excel avec des macros malveillantes, des fichiers OneNote avec des fichiers intégrés, aux pièces jointes ISO avec des exécutables et des raccourcis Windows. Certains d’entre eux sont également conçus pour exploiter les vulnérabilités zero-day dans Windows.

Une fois installé, le logiciel malveillant injectera une DLL dans un processus Windows légitime, tel que wermgr.exe ou courtier.exe, et exécutez tranquillement en arrière-plan tout en déployant des charges utiles supplémentaires.

Dans le passé, Qakbot s’est associé à plusieurs opérations de ransomware, notamment Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex et, plus récemment, Black Basta et BlackCat/ALPHV.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *