Détection de QakBot : Une nouvelle variante de cheval de Troie a acquis de nouvelles astuces
Table des matières :
Des experts en sécurité ont révélé une nouvelle variante d’un logiciel espion et trojan bancaire connu sous le nom de QBot (alias QakBot, QuackBot ou Pinkslipbot). Le trojan a été détecté pour la première fois à la fin des années 2000, principalement utilisé dans des attaques à motivation financière visant à voler les mots de passe des victimes. Ses opérateurs refont régulièrement surface avec de nouvelles astuces dans leurs manches, adoptant de nouveaux vecteurs de distribution et techniques d’évasion. Cette fois, les adversaires trompent les victimes en leur faisant ouvrir une pièce jointe HTML armée qui installe Qakbot, diffusée dans une campagne de phishing.
Détecter QakBot
Utilisez une règle de détection nouvellement publiée par Nattatorn Chuensangarun pour exposer les dernières attaques de QBot contre le réseau de votre organisation :
The La règle Sigma peut être utilisée sur plus de 19 plateformes SIEM, EDR & XDR, alignée avec le cadre MITRE ATT&CK® v.10, traitant des tactiques d’évasion de défense et d’exécution avec l’exécution de proxy binaire signé (T1218) et l’exécution par l’utilisateur (T1204) comme techniques principales.
Les utilisateurs enregistrés de SOC Prime peuvent accéder à des solutions innovantes spécifiques à l’industrie et plus de 200 000 algorithmes de détection qui s’intègrent à plus de 26 technologies SIEM, EDR et XDR. Pour accéder à la liste exhaustive des règles Sigma pour détecter les attaques QBot, cliquez sur le bouton Détecter & Chasser ci-dessous.
Pour obtenir une meilleure visibilité sur les menaces circulant dans votre réseau, naviguez dans un paysage de menaces en constante évolution avec une nouvelle solution de SOC Prime – le Cyber Threat Search Engine. Le moteur de recherche est disponible gratuitement, sans engagement. Essayez-le en appuyant sur le bouton Explorer le contexte des menaces .
Détecter & Chasser Explorer le contexte des menaces
Description de QakBot
Dans les opérations récentes, les adversaires derrière la distribution de QakBot ont adopté de nouvelles approches pour améliorer leurs capacités d’évasion de détection au niveau supérieur en utilisant des extensions de fichier ZIP, imitant des formats courants pour inciter les cibles à télécharger des pièces jointes malveillantes qui installent Qakbot. Lorsque le récepteur ouvre le fichier HTML, le processus implique l’exécution d’un morceau de code javascript. Suit ensuite le décodage d’une chaîne base64 détenue par une variable locale, appelant une fonction intégrée pour enregistrer l’archive ZIP décodée. Le fichier ZIP contient un fichier de raccourci Windows qui imite visuellement un fichier texte. Un double-clic entraîne le lancement d’un programme de chargeur de QakBot. Selon les données de recherche, la dernière version du trojan QakBot est améliorée avec de nouvelles techniques d’anti-analyse et d’obfuscation.
Dans cette campagne, des hackers criminels exploitent des extensions de charge utile comme OCX, ooccxx, .dat, .gyp pour contourner la détection des analyses de sécurité automatisées.
De nouvelles attaques apparaissent chaque jour dans la nature, et les professionnels de la sécurité SOC ont besoin de solutions précises et fondées sur l’exposition qui découpent le bruit et identifient les véritables menaces de sécurité. La vaste bibliothèque de contenu de détection de SOC Prime permet aux professionnels de la cybersécurité de maximiser la valeur de leurs investissements en matière de sécurité. En rejoignant la plateforme Detection as Codede SOC Prime, les experts en sécurité peuvent voir en action comment ils peuvent bénéficier de capacités de défense cybernétique accélérées.
