Détection de Malware QBot : Un vieux chien avec de nouveaux trucs
Table des matières :
On ne peut pas apprendre de nouveaux tours à un vieux chien. Pourtant, les cybercriminels ignorent les stéréotypes courants, mettant à jour QBot avec de nouveaux tours néfastes pour attaquer les victimes à l’échelle mondiale. Ce vétéran des malwares est apparu en 2007, et pourtant les chercheurs en sécurité observent que QBot est constamment mis à jour pour surfer sur la vague des tendances malveillantes.
Par exemple, les chercheurs en sécurité observent que les mainteneurs de QBot abusent de plus en plus des LOLBins (Living Off the Land Binaries). En particulier, un LOLBin courant est connu sous le nom de Regsvr32.exe : les acteurs menaçants utilisent cet utilitaire de ligne de commande pour implanter des trojans comme Lokibot et QBot dans le système d’une victime. Cette approche crée un environnement lucratif pour le succès de l’opération, étant donné que Regsvr32.exe est un outil utilisé dans plusieurs processus de routine.
Attaques QBot
QBot (QakBot, QuakBot, également Pinkslipbot) est apparu pour la première fois à la fin des années 2000. Depuis environ 15 ans, ce trojan cause des maux de tête, les cybercriminels derrière lui trouvant systématiquement des moyens innovants pour mener à bien leurs activités malveillantes.
Au cours des dernières années, le malware QBot s’est transformé en une vaste famille de malwares Windows, principalement utilisée dans des campagnes de phishing. Il permet aux hackers de voler des identifiants bancaires et de domaine Windows, d’infecter d’autres machines et de fournir un accès à distance aux groupes de ransomware. Selon les données actuelles, QBot a été employé comme agent de livraison pour les ransomwares pour acquérir un accès initial aux réseaux d’entreprise par des gangs aussi notoires que REvil, PwndLocker, Egregor, ProLock et MegaCortex.
Chaîne d’infection QBot
Typiquement, les infections QBot proviennent d’une autre infestation de malware ou, le plus souvent, d’une attaque de phishing. QBot cible les appareils sous Windows, utilisant les emails de phishing comme point d’entrée initial et exploitant les vulnérabilités des applications par défaut d’un système comme le client email de Microsoft, Outlook. Aujourd’hui, équipé d’un module qui lit les fils de discussion d’emails, les hackers derrière QBot ont atteint de nouveaux sommets en rendant les emails falsifiés plus légitimes aux yeux de leurs victimes. Les attaques de phishing QBot reposent sur un vaste répertoire de leurres, tels que de fausses factures, des rappels de paiement, des informations bancaires, des offres d’emploi, des documents scannés, des avertissements de détection de virus et des alertes COVID-19 inquiétantes, poussant un destinataire à ouvrir le fichier infecté, permettant ainsi l’exécution de code macro intégré.
Dans les campagnes actuelles, les opérateurs de QBot livrent des documents Word, Excel, RTF et composites malveillants. Lorsqu’une victime ouvre un document, cela alimente la propagation des infections QBot. Le chargeur DLL initial QBot est téléchargé et le processus QBot utilise une tâche planifiée Windows pour élever son niveau d’accès au système. En aussi peu que 30 minutes, l’ensemble du système de la victime est pillé.
Prévenir le QBot
QBot est sur le radar de la cybersécurité depuis plus de 15 ans maintenant, s’établissant comme un vétéran notoire du malware, distribué par email. À la lumière de l’augmentation des campagnes de phishing par email, Microsoft a annoncé un changement par défaut pour cinq applications Office qui exécutent des macros, c’est-à-dire, bloquer les macros VBA obtenues sur Internet, à compter d’avril 2022.
La solution ci-dessus deviendra, espérons-le, un grand bond en avant en matière de sécurité pour les appareils fonctionnant sous Windows. Entre-temps, les règles de détection par Nattatorn Chuensangarun aident les professionnels de la sécurité à découvrir les dernières attaques QBot contre le réseau de l’organisation :
Le malware Qbot collecte les informations du navigateur (via process_creation)
Le malware Qbot utilise le processus REG pour contourner la défense (via process_creation)
Le malware Qbot utilise le processus msra pour l’élévation de privilèges (via process_creation)
La liste complète des détections dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
Inscrivez-vous gratuitement sur la plateforme de Détection en tant que Code de SOC Prime pour rendre la détection des menaces plus facile, rapide et efficace, avec les meilleures pratiques de l’industrie et l’expertise partagée. La plateforme permet également aux professionnels du SOC de partager le contenu de détection de leur création, de participer à des initiatives de haut niveau et de monétiser leur contribution.
