17 avril 2023Ravie LakshmananSécurité financière / Logiciels malveillants

Campagne Contre Les Logiciels Malveillants Qbot

Une nouvelle campagne de logiciels malveillants QBot exploite la correspondance commerciale détournée pour inciter les victimes sans méfiance à installer le logiciel malveillant, révèlent de nouvelles découvertes de Kaspersky.

La dernière activité, qui a débuté le 4 avril 2023, a principalement ciblé les utilisateurs en Allemagne, en Argentine, en Italie, en Algérie, en Espagne, aux États-Unis, en Russie, en France, au Royaume-Uni et au Maroc.

QBotComment (alias Qakbot ou Pinkslipbot) est un cheval de Troie bancaire qui est connu pour être actif depuis au moins 2007. En plus de voler les mots de passe et les cookies des navigateurs Web, il se double d’une porte dérobée pour injecter des charges utiles de la prochaine étape telles que Cobalt Strike ou un ransomware.

Distribué via des campagnes de phishing, le malware a fait l’objet de mises à jour constantes au cours de sa vie qui intègrent des techniques anti-VM, anti-débogage et anti-sandbox pour échapper à la détection. Il est également apparu comme le logiciels malveillants les plus répandus pour le mois de mars 2023, par Check Point.

Publicité

« Au début, il était distribué via des sites Web infectés et des logiciels piratés », ont déclaré des chercheurs de Kaspersky. a dit, expliquant les méthodes de distribution de QBot. « Maintenant, le banquier est livré aux victimes potentielles par le biais de logiciels malveillants résidant déjà sur leurs ordinateurs, d’ingénierie sociale et de spams. »

Les attaques de piratage de fils de messagerie ne sont pas nouvelles. Il Se produit quand les cybercriminels s’insèrent dans des conversations professionnelles existantes ou initient de nouvelles conversations sur la base d’informations précédemment glanées par des comptes de messagerie compromis.

L’objectif est d’inciter les victimes à ouvrir des liens malveillants ou des pièces jointes malveillantes, dans ce cas, un fichier PDF joint qui se fait passer pour une alerte Microsoft Office 365 ou Microsoft Azure.

WEBINAIRE À VENIR

Maîtrisez l’art de la collecte de renseignements sur le dark web

Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !

Sauvez ma place !

L’ouverture du document entraîne la récupération d’un fichier d’archive à partir d’un site Web infecté qui, à son tour, contient un fichier de script Windows obscurci (.WSF). Le script, pour sa part, intègre un script PowerShell qui télécharge des DLL malveillantes depuis un serveur distant. La DLL téléchargée est le malware QBot.

Les résultats arrivent alors qu’Elastic Security Labs déterré une campagne d’ingénierie sociale en plusieurs étapes qui utilise des documents Microsoft Word militarisés pour distribuer l’agent Tesla et XWorm au moyen d’un chargeur personnalisé basé sur .NET.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.1/5 - (15 votes)
Publicité
Article précédentLe rover Curiosity Mars reçoit son dernier correctif logiciel interplanétaire
Article suivantValve publie Proton 8.0 comme la plus grande mise à jour à ce jour pour Linux Gaming
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici