Le malware QakBot est à nouveau distribué dans le cadre de campagnes de phishing après que le botnet ait été démantelé par les forces de l'ordre au cours de l'été.

En août, une opération multinationale d'application de la loi appelée Operation Duck Hunt a accédé aux serveurs de l'administrateur de QakBot et cartographié l'infrastructure du botnet.

Après avoir accédé aux clés de chiffrement du botnet utilisées pour la communication des logiciels malveillants, le FBI a pu détourner le botnet pour envoyer un module DLL Windows personnalisé vers les appareils infectés. Cette DLL a exécuté une commande qui a mis fin au malware QakBot, perturbant ainsi le botnet.

Alors qu'un service de phishing utilisé pour distribuer le malware Qbot a activité vue Depuis la perturbation, le malware QakBot n'a pas été distribué jusqu'à lundi dernier, lorsque la nouvelle campagne de phishing a commencé.

QakBot revient

Microsoft est maintenant, avertissement que QakBot est à nouveau distribué dans le cadre d'une campagne de phishing prétendant être un e-mail provenant d'un employé de l'IRS.

Microsoft affirme avoir observé pour la première fois l'attaque de phishing le 11 décembre lors d'une petite campagne ciblant le secteur hôtelier.

En pièce jointe à l'e-mail se trouve un fichier PDF prétendant être une liste d'invités indiquant « L'aperçu du document n'est pas disponible », puis invitant l'utilisateur à télécharger le PDF pour l'afficher correctement.

Cependant, en cliquant sur le bouton de téléchargement, les destinataires téléchargeront un MSI qui, une fois installé, lancera la DLL du malware Qakbot en mémoire.

Microsoft affirme que la DLL a été générée le 11 décembre, le jour même du début de la campagne de phishing, et utilise un code de campagne « tchk06 » et des serveurs de commande et de contrôle à 45.138.74.191:443 et 65.108.218.24:443.

« Plus particulièrement, la charge utile Qakbot livrée a été configurée avec la version 0x500 inédite », a tweeté Microsoft, indiquant le développement continu du malware.

Chercheurs en sécurité Pim Trouerbach et Tommy Madjar ont également confirmé que la charge utile Qakbot distribuée est nouvelle, avec quelques modifications mineures.

Trouerbach a déclaré à BleepingComputer qu'il y avait des modifications mineures dans la nouvelle DLL QakBot, notamment l'utilisation d'AES pour déchiffrer les chaînes plutôt que XOR dans la version précédente.

De plus, Trouerbach estime que la nouvelle version est toujours en cours de développement car elle contient des bugs inhabituels.

Comme Trouerbach l'a tweeté, après qu'Emotet ait été perturbé par les forces de l'ordre en 2021, les acteurs malveillants ont tenté de relancer leur botnet avec peu de succès.

Bien qu'il soit trop tôt pour dire si Qbot aura du mal à retrouver sa taille initiale, les administrateurs et les utilisateurs doivent être à l'affût des e-mails de phishing en chaîne de réponse qui sont couramment utilisés pour distribuer les logiciels malveillants.

Qu'est-ce que le malware Qbot

QakBot, alias Qbot, a débuté comme cheval de Troie bancaire en 2008, les développeurs de logiciels malveillants l'utilisant pour voler des informations d'identification bancaires, des cookies de sites Web et des cartes de crédit afin de commettre une fraude financière.

Au fil du temps, le logiciel malveillant a évolué pour devenir un service de distribution de logiciels malveillants, en partenariat avec d'autres acteurs malveillants pour fournir un accès initial aux réseaux afin de mener des attaques de ransomware, de l'espionnage ou du vol de données.

Qakbot est distribué via des campagnes de phishing qui utilisent divers leurres, notamment des attaques par courrier électronique en chaîne de réponse, c'est-à-dire lorsque les acteurs malveillants utilisent un fil de discussion volé, puis y répondent avec leur propre message et un document malveillant joint.

Ces e-mails incluent généralement des documents malveillants sous forme de pièces jointes ou de liens permettant de télécharger des fichiers malveillants qui installent le logiciel malveillant Qakbot sur l'appareil d'un utilisateur.

Ces documents varient selon les campagnes de phishing et vont des documents Word ou Excel contenant des macros malveillantes, des fichiers OneNote avec des fichiers intégrés, aux pièces jointes ISO avec des exécutables et des raccourcis Windows. Certains d’entre eux sont également conçus pour exploiter les vulnérabilités Zero Day de Windows.

Une fois installé, le malware injectera une DLL dans un processus Windows légitime, tel que wermgr.exe ou AtBroker.exe, et s'exécutera silencieusement en arrière-plan tout en déployant des charges utiles supplémentaires.

Dans le passé, Qakbot s'est associé à plusieurs opérations de ransomware, notamment Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex et, plus récemment, Black Basta et Chat noir/ALPHV.