La nouvelle version de Qbot peut pirater les fils d'e-mails

Le paysage des menaces en ligne est un endroit très particulier. Cela change et change tout le temps, et nous voyons de nouveaux noms arriver tandis que les anciens abandonnent chaque jour. À la lumière de tout cela, on peut s'attendre à ce qu'une famille de logiciels malveillants apparue il y a plus de dix ans ne soit plus qu'un lointain souvenir. Cependant, comme l'ont souligné les chercheurs de Check Point hier, le cheval de Troie bancaire Qbot est la preuve que ce n'est pas toujours le cas.

Aussi connu sous le nom de QakBot, il est apparu pour la première fois en 2008, mais douze ans plus tard, il est toujours aussi fort. Initialement, la fonctionnalité de Qbot tournait autour du vol de mots de passe bancaires et d'autres données sensibles, mais comme les chercheurs l'ont souligné, au fil des ans, il a acquis une gamme tellement diversifiée de fonctionnalités supplémentaires, qu'il est parfois appelé le «couteau suisse» des logiciels malveillants. . Cela ne signifie pas pour autant que les auteurs de Qbot vont s'arrêter ici. En fait, le but du rapport de Check Point était de détailler les dernières mises à jour du cheval de Troie.

Vous pouvez enseigner de nouvelles astuces à un ancien bot

Entre mars et juin, Qbot était au milieu d'une grande campagne, mais elle a ensuite cessé de se répandre, et les experts ont pensé que les opérateurs du malware lui avaient accordé une pause afin d'y ajouter quelques ajustements et ajustements. Ils s'attendaient à ce que la mise à jour prenne un peu plus de temps, mais fin juillet, le tristement célèbre cheval de Troie Emotet a lancé une campagne massive de malspam, et de nombreux messages malveillants portaient une nouvelle version de Qbot. En quelques jours, les opérateurs de Qbot ont sorti une autre version, avec encore plus de nouvelles fonctionnalités. C'est une grande campagne, et grâce à un nouveau module, les pirates veulent s'assurer qu'une grande partie des personnes qui reçoivent l'e-mail finira par être infectée par le malware.

Pour la plupart, l'infection est à peu près une opération Qbot standard. La victime reçoit un e-mail avec un lien vers une archive ZIP hébergée sur un site Web WordPress compromis. À l'intérieur du ZIP, l'utilisateur trouve un fichier qui, s'il est ouvert, déclenche l'infection. Jusqu'en avril, les opérateurs de Qbot ont placé des documents Word contenant des macros dans les ZIP malveillants, mais ils sont depuis passés aux scripts Visual Basic (VBS). Le VBS contacte l'un des sites de distribution et télécharge la charge utile initiale, qui prépare le terrain pour le cheval de Troie réel. La charge utile initiale effectue quelques vérifications pour s'assurer qu'elle ne s'exécute pas dans un environnement sandbox et apporte quelques modifications au registre pour obtenir la persistance. Enfin, lorsqu'il est sûr que vous pouvez continuer en toute sécurité, il déploie la charge utile principale de Qbot.

Les mises à jour les plus récentes n'ont pas vraiment apporté de changements majeurs. Qbot peut toujours voler des mots de passe, des détails de carte de crédit et d'autres informations sensibles. Il peut se connecter au compte bancaire de la victime et effectuer des transactions en son nom, et il peut également installer d'autres souches de logiciels malveillants si cela lui est demandé.

Les experts ont déclaré avoir vu d'autres modules qui facilitent les mouvements latéraux à travers un réseau, mais ils ont décidé de ne pas les développer car ils ont vu une nouvelle fonctionnalité qui était plus remarquable.

Qbot peut détourner vos conversations par e-mail

Le nouveau module est conçu pour voler des fils entiers des clients de messagerie Outlook de la victime. C'est déjà une mauvaise nouvelle car bien que les experts aient mis en garde contre les dangers du partage d'informations sensibles par e-mail, les gens continuent de remplir leurs messages avec des données qui peuvent causer des dommages extrêmes si elles tombent entre de mauvaises mains.

Les pirates ne volent pas les fils de courrier électronique des gens parce qu'ils veulent les informations qu'ils contiennent. Ils le font pour pouvoir répondre au nom de la victime qui a déjà été infectée par Qbot et inciter l'autre participant à la conversation à installer également le malware. Les experts de Check Point ont déclaré avoir vu des escrocs détourner des fils de courrier électronique et envoyer des liens malveillants dans des messages tournant autour de tout, de la pandémie COVID-19 aux rappels de paiement de taxes.

C'est l'un des mouvements les plus intelligents des hackers. Les gens se méfient maintenant suffisamment des e-mails qui distribuent des logiciels malveillants et ont tendance à être un peu plus prudents avec les messages qu'ils trouvent dans leurs boîtes de réception. Cependant, si les liens proviennent d'une personne qu'ils connaissent et avec qui ils ont déjà communiqué, les cibles sont beaucoup plus susceptibles de cliquer dessus.

La dernière mise à jour de Qbot ne change pas la fonctionnalité principale du malware, mais malgré cela, elle montre que ses opérateurs sont loin d'y avoir renoncé. Bien qu'il ait maintenant plus de dix ans, il est plus redoutable que jamais.