Support technique
Documentation
Connexion
Nous contacter
Le logiciel malveillant QBot se propage par le biais d'une nouvelle campagne d'hameçonnage
Le 3 mai 2023 - L'équipe de relations publiques de TuxCare
Proxylife et le groupe Cryptolaemus ont détecté un nouvel effort d'hameçonnage qui distribue le logiciel malveillant QBot via des PDF et des fichiers de script Windows (WSF). QBot, également connu sous le nom de QakBot, est un virus qui vole des informations et s'est transformé en un dropper qui aide les groupes criminels dans leurs actions malveillantes.
Les courriels de phishing sont des chaînes de réponses dans lesquelles des acteurs malveillants répondent à une séquence de courriels par un lien ou une pièce jointe malveillante. Ces courriels de phishing utilisent diverses langues, ce qui signifie que n'importe quelle organisation, n'importe où dans le monde, peut être compromise. Lorsque quelqu'un dans la chaîne de courriels consulte le PDF lié, il reçoit l'avertissement suivant : "Ce document contient des fichiers protégés ; pour les afficher, cliquez sur le bouton 'ouvrir'". Lorsque vous cliquez sur le bouton, un fichier ZIP contenant le script WSF est téléchargé.
Le script de cette campagne a été soigneusement dissimulé et est un mélange de code JavaScript (JS) et VBScript. Lorsqu'il est exécuté, il lance un programme PowerShell qui télécharge la DLL QBot à partir d'une liste d'URL. Le script tente chaque URL jusqu'à ce qu'il télécharge et exécute un fichier dans le dossier Temp de Windows. Lorsque QBot est lancé, il s'insère dans le logiciel Windows Error Manager, wermgr.exe, qui est un composant Windows authentique. Cela permet à QBot de fonctionner en arrière-plan de manière invisible.
Kaspersky a également étudié cette campagne et a découvert qu'elle utilisait des chaînes de réponse pour rendre plus difficile la reconnaissance de la malveillance par les cibles potentielles. Les courriels sont rédigés dans le style de lettres d'affaires légitimes obtenues par les attaquants et invitent le destinataire à télécharger une pièce jointe au format PDF. Ce fichier PDF comporte de nombreux niveaux d'obscurcissement, ce qui rend difficile l'identification de son caractère malveillant par les programmes de sécurité.
Le fichier PDF contient un fichier de script Windows (WSF) qui renferme un script PowerShell caché, encodé sous la forme d'une ligne Base64. Lorsque le script PowerShell est exécuté sur l'ordinateur, il utilise l'outil wget pour télécharger un fichier DLL à partir d'un serveur distant, qui est ensuite utilisé pour diffuser le logiciel malveillant QBot sur le PC de la victime.
Les nombreuses couches d'obscurcissement de QBot le rendent difficile à détecter. Le WSF est obscurci pour échapper à la détection, qui téléchargera d'autres charges utiles, explique Timothy Morris, conseiller en chef pour la sécurité chez Tanium. Le "chaînage" de l'attaque, c'est-à-dire l'utilisation de plusieurs étapes, permet de contourner certaines protections, car le contexte complet du comportement néfaste ne peut pas être observé comme une activité unique.
Les sources de cet article comprennent un article de Malwarebytes.
