Actualités

QBot : datant de 2008, le trojan a perduré grâce à une mise à jour à destination d’Emotet, en Juillet dernier !

Voilà un fait sécuritairement intéressant : Qakbot (ou Pinkslipbot, Qbot), mis en lumière depuis 2008 par l’équipe CheckPoint, continue de perdurer. Un fait confirmé par une mise à jour dernière dont a bénéficié le malware par le biais d’une campagne autrement plus dangereuse ; Emotet…

 

 

En effet, depuis – officiellement – 2014, Emotet sévissait en infectant les mails via une diffusion massive, notamment, grâce à des botnets. Si James Quinn avait récemment annoncé une rustine pour ce dangereux trojan, début Août 2020, les reliquats insécuritaires, eux perdurent : c’est le cas d’un des innombrables outils malveillants, Qbot qui a profité d’une mise à jour estivale pour se ragaillardir ; résultat édifiant : outre une diffusion assez large dans le monde, on constate un modus operandi qui a évolué : “l’une des nouvelles astuces de Qbot est particulièrement désagréable, car une fois qu’une machine est infectée, elle active un «module collecteur d’e-mails» spécial qui extrait tous les fils d’e-mails du client Outlook de la victime et les télécharge sur un serveur distant codé en dur. Ces e-mails volés sont ensuite utilisés pour les futures campagnes de malspam, ce qui permet aux utilisateurs d’être plus facilement incités à cliquer sur des pièces jointes infectées, car le courrier indésirable semble poursuivre une conversation par courrier électronique légitime existante. Les chercheurs de Check Point ont vu des exemples de fils de discussion ciblés et détournés avec des sujets liés à Covid-19, des rappels de paiement d’impôts et des recrutements d’emplois” est-il ainsi expliqué dans le billet de CheckPoint datant du 27 Août dernier.

 

L’infection de ce Qbot évolué, donc, prend son sein depuis un mail malicieux dont une PC réside : il s’agit d’une archive (ZIP) recelant un VBS (Visual Basic Script file) vérolé (et non-plus un document Word) atteignant au moins les 35 Mo, en taille-fichier. A l’intérieur, une URL compromise dont des “centaines d’URLs différentes” ont été retracées par les chercheurs, depuis des sites WordPress, eux-même compromis… Grâce à un système de tags, un numéro de version peut être déduit pour retracer Qbot : officiellement, celui-ci serait activement dans la nature depuis le 22 Janvier 2020. Plusieurs modes ou fonctions ont été recensés :

  • Sleep timer API,
  • Techniques de camouflage,
  • Chiffrement des URLs via XOR “3 fois avec différentes clés” dynamiques.

 

Le bot s’appuie sur un listing de 150 serveurs du genre pour effectuer les fameux va-et-vient (Command and Control) entre le terminal infecté et son point-source. Les données transitent au moyen d’un fichier JSON qui intègre chaque terminal en leur attribuant un identifiant.

Par exemple, un code “8” (MSG code) enclenchera, lors de la prochaine connexion l’installation du module relatif au proxy qui s’avère jointé à une API bien spécifique : “‘elle reçoit des messages de contrôle en déployant et non en collectant, ce qui pourrait exposer les bots au contrôle d’acteurs externes”, constate les chercheurs qui ont, sans succès, tenté de forcer le protocole protégé par une clé privée.

Chaque voyage ainsi opéré numériquement peut conduire, presque à chaque fois, à l’installation d’un module complémentaire :

 

  • Mise à jour forcée : actualisation de la liste des bots,
  • Module “e-mail collector” via un dll (API) corrompu, pour une ex-filtration de mail Outlook,
  • Auto-infection (hooking) de l’ensemble des processus,
  • Infection-fichier depuis un site Web, grâce à une liste pré-déterminée + code JavaScript,
  • Collecteur de mots de passe, via “mimikatz” pour aspirer un large panel,
  • Plugin hVNC : contrôle distant d’un terminal depuis une connexion VNC (telle que Remote Desktop…),
  • Mise à jour forcée via un module JavaScript,
  • Collecteur de cookies, depuis IE, Edge, Chrome ou encore Firefox.

 

Les pays les plus impactés sont les Etats-Unis (29 %), “autres” (20 %), suivi, à part égale, par l’Inde, Israël ou encore l’Italie (7 %). Allemagne et Turquie suive derrière avec 6 %. Presque, malheureusement, sans surprise, les institutions militaires et gouvernementales sont les principales cibles (36, 94 %), le secteur industriel (15,3 %) ou encore les entreprises d’assurance (10, 82 %). La snaté (8,21 %) et les établissements financiers ne serait affectés qu’à hauteur de 5,97 %… A veiller !

 

 

Source : CheckPoint – 27 Août 2020 – Qbot : nouvelle évolution du trojan (liste complète des domaines, IPs, hashes, dropper-URLs VBS…)




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020