Le botnet Qbot diffuse désormais des charges utiles de logiciels malveillants via des e-mails de phishing avec des pièces jointes d’archives ZIP protégées par mot de passe contenant des packages d’installation Windows MSI malveillants.
C’est la première fois que les opérateurs Qbot utilisent cette tactique, passant de leur manière standard de diffuser le malware via des e-mails de phishing en déposant des documents Microsoft Office avec des macros malveillantes sur les appareils des cibles.
Les chercheurs en sécurité soupçonnent que cette décision pourrait être une réaction directe à l’annonce par Microsoft de son intention de supprimer la diffusion de logiciels malveillants via les macros VBA Office en février après avoir désactivé les macros Excel 4.0 (XLM) par défaut en janvier.
Microsoft a commencé à déployer la fonctionnalité de blocage automatique des macros VBA pour les utilisateurs d’Office pour Windows au début d’avril 2022, en commençant par la version 2203 dans le canal actuel (préversion) et vers d’autres canaux de publication et des versions plus anciennes ultérieurement.
« Malgré les différentes méthodes de messagerie utilisées par les attaquants pour diffuser Qakbot, ces campagnes ont en commun leur utilisation de macros malveillantes dans les documents Office, en particulier les macros Excel 4.0 », a déclaré Microsoft. mentionné en décembre.
« Il convient de noter que si les menaces utilisent les macros Excel 4.0 pour tenter d’échapper à la détection, cette fonctionnalité est désormais désactivée par défaut et oblige donc les utilisateurs à l’activer manuellement pour que ces menaces s’exécutent correctement. »
Il s’agit d’une amélioration significative de la sécurité pour protéger les clients Office, car l’utilisation de macros VBA malveillantes intégrées dans les documents Office est une méthode répandue pour pousser un large éventail de souches de logiciels malveillants dans les attaques de phishing, notamment Qbot, Emotet, TrickBot et Dridex.
Qu’est-ce que Qbot ?
Qbot (également appelé QakbotComment, Quakbotet Pinkslipbot) est un cheval de Troie bancaire Windows modulaire avec des fonctionnalités de ver utilisé depuis au moins 2007 pour voler des informations d’identification bancaires, des informations personnelles et des données financières, ainsi que pour déposer des portes dérobées sur des ordinateurs compromis et déployer des balises Cobalt Strike.
Ce logiciel malveillant est également connu pour infecter d’autres appareils sur un réseau compromis à l’aide d’exploits de partage de réseau et d’attaques par force brute très agressives ciblant les comptes d’administrateur Active Directory.
Bien qu’actif depuis plus d’une décennie, le malware Qbot a été principalement utilisé dans des attaques très ciblées contre des entreprises, car il offre un retour sur investissement plus élevé.
Plusieurs gangs de rançongiciels, dont REvil, Egregor, ProLock, PwndLocker et MegaCortex, ont également utilisé Qbot pour violer les réseaux d’entreprise.
Étant donné que les infections Qbot peuvent entraîner des infections dangereuses et des attaques hautement perturbatrices, les administrateurs informatiques et les professionnels de la sécurité doivent se familiariser avec ce logiciel malveillant, les tactiques qu’il utilise pour se propager sur un réseau et celles utilisées par les opérateurs de botnet pour le diffuser vers de nouvelles cibles.
Un rapport Microsoft de décembre 2021 a capturé la polyvalence des attaques Qbot, ce qui rend plus difficile l’évaluation précise de l’étendue de ses infections.