Le malware Qbot passe au nouveau vecteur d'infection Windows Installer

  • Principal
  • Nouvelles
  • Le malware Qbot passe au nouveau vecteur d'infection Windows Installer

Le botnet Qbot envoie désormais des charges utiles de logiciels malveillants via des e-mails de phishing avec des pièces jointes ZIP protégées par mot de passe contenant des packages d'installation Windows MSI malveillants.

C'est la première fois que les opérateurs de Qbot utilisent cette tactique, en changeant de leur manière standard de diffuser des logiciels malveillants via des e-mails de phishing qui déposent des documents Microsoft Office avec des macros malveillantes sur les appareils des cibles.

Les chercheurs en sécurité soupçonnent que cette décision pourrait être une réaction directe à l'annonce par Microsoft de son intention de sévir contre la diffusion de logiciels malveillants via les macros VBA Office en février, après avoir désactivé les macros Excel 4.0 (XLM) par défaut. en janvier.

Microsoft a commencé à déployer la fonctionnalité de blocage automatique des macros VBA pour les utilisateurs d'Office pour Windows au début d'avril 2022, en commençant par la version 2203 dans le canal actuel (préversion) et dans d'autres canaux de publication et versions antérieures. en avant.

'Malgré les différentes méthodes de messagerie utilisées par les attaquants pour diffuser Qakbot, ces campagnes ont en commun l'utilisation de macros malveillantes dans les documents Office, en particulier les macros Excel 4.0', a déclaré Microsoft en décembre.

'Il convient de noter que bien que les menaces utilisent les macros Excel 4.0 pour tenter d'échapper à la détection, cette fonctionnalité est désormais désactivée par défaut et nécessite donc que les utilisateurs l'activent manuellement pour que ces menaces s'exécutent correctement'.

Il s'agit d'une amélioration de sécurité significative pour protéger les clients Office, car l'utilisation de macros VBA malveillantes intégrées dans les documents Office est une méthode courante pour piloter une grande variété de souches de logiciels malveillants dans les attaques de phishing, notamment Qbot, Emotet, TrickBot et Dridex.

Joseph Roosen Qbot's tweet

Qu'est-ce que Qbot ?

Qbot (également connu sous le nom de Qakbot, Quakbot et Pinkslipbot) est un cheval de Troie bancaire Windows modulaire avec des capacités de ver qui est utilisé depuis au moins 2007 pour voler des identifiants bancaires, des informations personnelles et des données financières, ainsi que pour placer des portes dérobées dans des ordinateurs compromis et mettre en œuvre Cobalt. Phares d'attaque.

Ce logiciel malveillant est également connu pour infecter d'autres appareils sur un réseau compromis via des exploits de partage de réseau et des attaques par force brute très agressives ciblant les comptes d'administrateur Active Directory.

Bien qu'il soit actif depuis plus d'une décennie, le malware Qbot a été principalement utilisé dans des attaques très ciblées contre des entreprises, car il offre un retour sur investissement plus élevé.

Plusieurs gangs de rançongiciels, dont REvil, Egregor, ProLock, PwndLocker et MegaCortex, ont également utilisé Qbot pour violer les réseaux d'entreprise.

Étant donné que les infections Qbot peuvent entraîner des infections dangereuses et des attaques hautement perturbatrices, les administrateurs informatiques et les professionnels de la sécurité doivent se familiariser avec ce logiciel malveillant, les tactiques qu'il utilise pour se propager sur un réseau et les tactiques utilisées par les opérateurs de botnet. pour l'envoyer à de nouvelles cibles.

Un rapport Microsoft de décembre 2021 a capturé la polyvalence des attaques Qbot, ce qui rend difficile l'évaluation précise de l'étendue de ses infections.

Qu'est-ce que tu penses?