Le malware QBot est désormais distribué dans des campagnes de phishing utilisant des PDF et des fichiers de script Windows (WSF) pour infecter les appareils Windows.
Qbot (alias QakBot) est un ancien cheval de Troie bancaire qui s’est transformé en malware qui fournit un accès initial aux réseaux d’entreprise pour d’autres acteurs de la menace. Cet accès initial se fait en supprimant des charges utiles supplémentaires, telles que Cobalt Strike, Brute Ratel et d’autres logiciels malveillants qui permettent à d’autres acteurs de la menace d’accéder à l’appareil compromis.
En utilisant cet accès, les acteurs de la menace se sont propagés latéralement à travers un réseau, volant des données et déployant finalement des rançongiciels dans des attaques d’extorsion.
À partir de ce mois-ci, le chercheur en sécurité ProxyLife et le groupe Cryptolaemus ont fait la chronique de l’utilisation par Qbot d’une nouvelle méthode de distribution de courrier électronique – des pièces jointes PDF qui téléchargent des fichiers de script Windows pour installer Qbot sur les appareils de la victime.
Cela commence par un e-mail
QBot est actuellement distribué via des e-mails de phishing en chaîne de réponse, lorsque les acteurs de la menace utilisent des échanges d’e-mails volés, puis leur répondent avec des liens vers des logiciels malveillants ou des pièces jointes malveillantes.
L’utilisation d’e-mails en chaîne de réponse est une tentative de rendre un e-mail de phishing moins suspect en tant que réponse à une conversation en cours.
Les e-mails de phishing utilisent une variété de langues, ce qui en fait une campagne mondiale de distribution de logiciels malveillants.
En pièce jointe à ces e-mails se trouve un fichier PDF nommé « Lettre d’annulation-[numéro].pdf », qui, lorsqu’il est ouvert, affiche un message indiquant : « Ce document contient des fichiers protégés, pour les afficher, cliquez sur le bouton « Ouvrir » ».
Cependant, lorsque le bouton est cliqué, un fichier ZIP contenant un fichier Windows Script (wsf) sera téléchargé à la place.
Un fichier de script Windows se termine par une extension .wsf et peut contenir un mélange de code JScript et VBScript qui est exécuté lorsque le fichier est double-cliqué.
Le fichier WSF utilisé dans la campagne de distribution de logiciels malveillants QBot est fortement obscurci, dans le but ultime d’exécuter un script PowerShell sur l’ordinateur.
Le script PowerShell exécuté par le fichier WSF tente de télécharger une DLL à partir d’une liste d’URL. Chaque URL est essayée jusqu’à ce que le fichier soit correctement téléchargé dans le dossier %TEMP% et exécuté.
Lorsque la DLL QBot est exécutée, elle exécute la commande PING pour déterminer s’il existe une connexion Internet. Le logiciel malveillant s’injectera ensuite dans le programme légitime Windows wermgr.exe (Windows Error Manager), où il s’exécutera discrètement en arrière-plan.
Les infections par les logiciels malveillants QBot peuvent entraîner des attaques dévastatrices sur les réseaux d’entreprise, ce qui rend essentiel de comprendre comment le logiciel malveillant est distribué.
Les affiliés de Ransomware liés à plusieurs opérations de Ransomware-as-a-Service (RaaS), notamment BlackBasta, REvil, PwndLocker, Egregor, ProLock et MegaCortex, ont utilisé Qbot pour un accès initial aux réseaux d’entreprise.
Les chercheurs du rapport DFIR ont montré qu’il ne faut qu’environ 30 minutes à QBot pour voler des données sensibles après l’infection initiale. Pire encore, une activité malveillante ne prend qu’une heure pour se propager aux postes de travail adjacents.
Par conséquent, si un appareil est infecté par QBot, il est essentiel de mettre le système hors ligne dès que possible et d’effectuer une évaluation complète du réseau pour un comportement inhabituel.