Une nouvelle campagne de logiciels malveillants QBot exploite la correspondance commerciale détournée pour inciter les victimes sans méfiance à installer le logiciel malveillant, révèlent de nouvelles découvertes de Kaspersky.
La dernière activité, qui a débuté le 4 avril 2023, a principalement ciblé les utilisateurs en Allemagne, en Argentine, en Italie, en Algérie, en Espagne, aux États-Unis, en Russie, en France, au Royaume-Uni et au Maroc.
QBotComment (alias Qakbot ou Pinkslipbot) est un cheval de Troie bancaire qui est connu pour être actif depuis au moins 2007. En plus de voler les mots de passe et les cookies des navigateurs Web, il se double d’une porte dérobée pour injecter des charges utiles de la prochaine étape telles que Cobalt Strike ou un ransomware.
Distribué via des campagnes de phishing, le malware a fait l’objet de mises à jour constantes au cours de sa vie qui intègrent des techniques anti-VM, anti-débogage et anti-sandbox pour échapper à la détection. Il est également apparu comme le logiciels malveillants les plus répandus pour le mois de mars 2023, par Check Point.
« Au début, il était distribué via des sites Web infectés et des logiciels piratés », ont déclaré des chercheurs de Kaspersky. a dit, expliquant les méthodes de distribution de QBot. « Maintenant, le banquier est livré aux victimes potentielles par le biais de logiciels malveillants résidant déjà sur leurs ordinateurs, d’ingénierie sociale et de spams. »
Les attaques de piratage de fils de messagerie ne sont pas nouvelles. Il Se produit quand les cybercriminels s’insèrent dans des conversations professionnelles existantes ou initient de nouvelles conversations sur la base d’informations précédemment glanées par des comptes de messagerie compromis.
L’objectif est d’inciter les victimes à ouvrir des liens malveillants ou des pièces jointes malveillantes, dans ce cas, un fichier PDF joint qui se fait passer pour une alerte Microsoft Office 365 ou Microsoft Azure.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
L’ouverture du document entraîne la récupération d’un fichier d’archive à partir d’un site Web infecté qui, à son tour, contient un fichier de script Windows obscurci (.WSF). Le script, pour sa part, intègre un script PowerShell qui télécharge des DLL malveillantes depuis un serveur distant. La DLL téléchargée est le malware QBot.
Les résultats arrivent alors qu’Elastic Security Labs déterré une campagne d’ingénierie sociale en plusieurs étapes qui utilise des documents Microsoft Word militarisés pour distribuer l’agent Tesla et XWorm au moyen d’un chargeur personnalisé basé sur .NET.