Avvxsehpbrlszuonq7J2Tstriumopb0C43Ljusfb6Bg6Lceh Tpmpn1Ihbochvalybldxe8Zz3Dk975F5Xsj9Nvfsbaggrs2Qh 4Zfs6Ks81Mtmxpajueimijqol9W31Dpz0Tarxasnoiq9L8N5Tdpme7Bwaapzi2Lw17Iql1Cqkj Rsa0Qvrhge

Les chercheurs en cybersécurité ont décodé le mécanisme par lequel le cheval de Troie bancaire polyvalent Qakbot gère l’insertion de données de configuration cryptées dans le Registre Windows.

Qakbot, également connu sous le nom de QBot, QuackBot et Pinkslipbot, a été observé à l’état sauvage depuis 2007. Bien que principalement conçu comme un logiciel malveillant de vol d’informations, Qakbot a depuis modifié ses objectifs et acquis de nouvelles fonctionnalités pour fournir des plates-formes d’attaque post-compromis telles que Cobalt Strike Beacon, dans le but final de charger des ransomwares sur des machines infectées.

Sauvegardes Automatiques Github

« Il a été continuellement développé, avec de nouvelles fonctionnalités introduites telles que le mouvement latéral, la possibilité d’exfiltrer les données des e-mails et du navigateur et d’installer des logiciels malveillants supplémentaires », ont déclaré les chercheurs de Trustwave Lloyd Macrohon et Rodel Mendrez dans un rapport partagé avec The Hacker News.

Ces derniers mois, les campagnes de phishing ont abouti à la distribution d’un nouveau chargeur appelé SQUIRRELWAFFLE, qui agit comme un canal pour récupérer les charges utiles de phase finale telles que Cobalt Strike et QBot.

Avvxsejmeynzmbjwfrjwclqngvkflos1Ukxptkoyi52Mjxltklnvqy4G6Ctwrwus9Dpf9Cukqvf75Ohyzthaz1Q78I

Les nouvelles versions de Qakbot ont également acquis la capacité de détourner les données des e-mails et du navigateur ainsi que d’insérer des informations de configuration cryptées relatives au malware dans le registre au lieu de les écrire dans un fichier sur disque dans le cadre de ses tentatives de ne laisser aucune trace du infection.

Publicité

« Bien que QakBot ne soit pas entièrement sans fichier, ses nouvelles tactiques réduiront sûrement sa détection », les chercheurs de Hornetsecurity souligné en décembre 2020.

Prévenir Les Violations De Données

L’analyse de Trustwave sur le malware vise à inverser ce processus et à décrypter la configuration stockée dans la clé de registre, la société de cybersécurité notant que la clé utilisée pour crypter les données de valeur de la clé de registre est dérivée d’une combinaison de nom d’ordinateur, numéro de série de volume, et le nom du compte d’utilisateur, qui est ensuite haché et salé avec un identifiant (ID) d’un octet.

« Le SHA1 le résultat de hachage sera utilisé comme clé dérivée pour déchiffrer les données de valeur de clé de registre respectives à l’ID en utilisant le RC4 algorithme », ont déclaré les chercheurs, en plus de mettre à disposition un Utilitaire de décryptage basé sur Python qui peut être utilisé pour extraire la configuration du registre.


Rate this post
Publicité
Article précédentRBL Bank collabore avec Google pour faire progresser l’expérience client de nouvelle génération
Article suivantComment utiliser le logiciel de sauvegarde gratuit SyncBack sur Windows 11/10
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici