Le cheval de Troie Qbot vole à nouveau des e-mails de chaîne qui peuvent être utilisés pour camoufler des e-mails criblés de logiciels malveillants dans le cadre de conversations précédentes dans de futures campagnes de spam malveillant.
Qbot (également connu sous le nom de QakBot) est un malware bancaire et de vol d’informations qui infecte activement les victimes depuis plus de dix ans.
Une fois installé, Qbot tentera de voler les mots de passe, cookies, cartes de crédit, e-mails et informations d’identification bancaires en ligne de ses victimes.
Ce cheval de Troie est également connu pour télécharger et installer d’autres logiciels malveillants sur des ordinateurs compromis.
Depuis juillet 2020, Qbot est un malware de choix pour le célèbre botnet Emotet et a connu une vague de nouvelles infections.
Qbot vole les e-mails de la victime pour des futures campagnes de spam malwares
En 2019, QBot avait commencé à voler les fils d’e-mails des victimes, en les utilisant dans le cadre d’une campagne de phishing contextuelle fin mars 2019.
Selon un nouveau rapport de Check Point, QBOT continue d’employer une tactique utilisée précédemment par le cheval de Troie bancaire Gozi ISFB , le cheval de Troie voleurs d’ information de URSNIF , et le cheval de Troie de Emotet [ 1 , 2 , 3 ]: le vol de fils de discussion complet à utilisation dans des chaînes de réponse ou des attaques par «fil de courrier électronique détourné».
Une attaque par hameçonnage se produit lorsque des acteurs menaçants utilisent un fil d’e-mail volé, puis y répondent avec leur propre message et un document malveillant joint.
Après avoir infecté les victimes, l’une des activités malveillantes menées par Qbot consiste à voler les e-mails du client Outlook d’un utilisateur.
Ces e-mails volés sont ensuite être téléchargés sur les serveurs des pirates pour être utilisés dans de futures campagnes de spam ciblant d’autres victimes potentielles.
Ce type d’attaque rend la campagne de phishing plus crédible, en particulier lorsqu’elle est utilisée contre ceux du thread d’origine.
Check Point a observé que ces attaques par chaîne de réponse contiennent des pièces jointes ZIP contenant des scripts VBS malveillants. Une fois exécutés, ces scripts VBS téléchargeront le malware Qbot sur le système et infecteront l’utilisateur.
« Au cours de notre suivi de la campagne malspam, nous avons vu des centaines d’URL différentes pour des ZIP malveillants tomber alors que la plupart d’entre elles étaient des sites WordPress compromis », expliquent les chercheurs de Check Point.
L’utilisation du courrier électronique volé d’une victime contre d’autres destinataires crée un cycle perpétuel de nouvelles victimes utilisées contre d’autres pour propager le malware.
Depuis que ce module de vol de fils d’e-mails a été ajouté, les chercheurs de Check Point ont repéré des fils d’e-mails ciblés et détournés utilisés dans des campagnes en cours sur des sujets liés aux rappels de paiement d’impôts, à la pandémie de Covid-19 et aux offres d’emploi.
Les auteurs de Qbot ont également ajouté des capacités inhabituelles à un moment ou un autre, ainsi qu’un moyen intelligent pour le malware de se rassembler à partir de deux moitiés cryptées pour échapper à la détection lorsqu’il est livré sur le système d’une cible.
Le malware est également connu pour infecter d’autres appareils sur le même réseau à l’aide d’exploits de partage de réseau et d’attaques par force brute très agressives qui ciblent les comptes d’administrateur Active Directory.
Même s’il est actif depuis plus d’une décennie, ce cheval de Troie bancaire a été principalement utilisé dans des attaques très ciblées contre des entités d’entreprise qui pourraient fournir un meilleur retour sur investissement.
