AccueilActualités informatiqueRansomware : Qakbot marche sur les traces d'Emotet

Ransomware : Qakbot marche sur les traces d’Emotet

Emotet avait porté le hameçonnage à un nouveau niveau avec ses e-mails de hameçonnage dynamites. Ces courriels provenaient d’expéditeurs connus et citaient même les propres courriels du destinataire pour l’inciter à ouvrir le document Office joint. Après avoir démantelé l’infrastructure d’Emotet, Qakbot semble maintenant adopter ses astuces, comblant ainsi une lacune dans l’écosystème de la cybercriminalité.

Comme Emotet, Qakbot était initialement spécialisé dans la fraude bancaire en ligne, puis a évolué au fil du temps. Ce faisant, le logiciel malveillant, également connu sous le nom de QBot, a surtout étendu sa capacité à voler des mots de passe et d’autres informations. Par le passé, Qakbot accédait aux ordinateurs de ses victimes via Emotet, entre autres. Toutefois, comme le montre une analyse récente de Kaspersky, le gang de Qakbot mène de plus en plus souvent ses propres campagnes d’hameçonnage et s’appuie également sur des fichiers Office malveillants contenant des macros pour infecter l’ordinateur du destinataire. Ils sont souvent emballés dans des archives ZIP.

Sommaire

Pour déclencher l’infection, le destinataire doit ouvrir le fichier Office, puis cliquer sur « Activer le contenu ». Pour ce faire, Emotet crée un contexte inspirant la confiance avec des courriels précédemment volés à d’autres victimes. Comme le montre Kaspersky, Qakbot utilise désormais également un module spécial de collecte d’e-mails pour rechercher Microsoft Outlook sur les ordinateurs de ses victimes afin de récupérer leurs e-mails.

Le fichier Excel est censé être protégé par DocuSign. La demande « activer le contenu » infecte le PC avec Qakbot.

(Image : Northwave Security)

À partir de ces messages, les criminels créent ensuite des courriers spécialement adaptés au destinataire et contenant d’autres chevaux de Troie Office. Par ailleurs, ils aiment aussi prétendre qu’ils sont « protégés par DocuSign ». Le « contenu activé » est supposé être utilisé pour décrypter le contenu supposé sécurisé.

Et bien sûr, Qakbot agit aussi comme une porte ouverte pour les ransomwares. Dans le passé, c’était souvent l’égrégore. Mais le gang entretient également de bonnes relations avec le gang Trickbot, qui a dans son programme l’un des chevaux de Troie d’extorsion les plus performants actuellement, Conti. Avec IcedID, positionné de manière similaire, Qakbot a ainsi pu s’assurer que le démantèlement de l’infrastructure d’Emotet n’entraînait pas une diminution notable de la menace des ransomwares.

Les mesures évoquées dans le cadre de la prévention d’Emotet pour se protéger des fichiers Office malveillants ne sont donc nullement obsolètes. Ceux qui le peuvent devraient tout de même bloquer la réception de courrier et le téléchargement de fichiers Office contenant des macros, ou du moins les réglementer de manière raisonnable.

En outre, Kaspersky a publié dans l’analyse technique de QakBot une liste exhaustive des adresses IP des serveurs C2 connus de Qakbot, qui peut servir d’indicateur de compromission. La surveillance ciblée des activités suspectes est un élément important du concept de protection contre les ransomwares. Si vous remarquez à un stade précoce que des ordinateurs de votre réseau « parlent » à des serveurs de contrôle connus des gangs de cybercriminels, vous pouvez souvent empêcher le pire de se produire.


(ju)

Plus d'articles