Qakbot (alias QBot ou Pinkslipbot) est un cheval de Troie avec une histoire évolutive de 15 ans. D'origine cheval de Troie bancaire, il a continué à évoluer vers un malware, désormais utilisé pour la distribution latérale dans un réseau et le déploiement de ransomwares.
Après avoir été démantelée par les forces de l'ordre en août 2023, la 5ème version de Qakbot est sortie quelques mois plus tard. Zscaler a analysé la transformation d'un malware résilient, persistant et innovant. Récemment, les chercheurs en sécurité ont découvert que les auteurs de la menace avaient mis à jour leur base de code pour prendre en charge les versions 64 bits de Windows. Ils ont également amélioré les algorithmes de cryptage et ajouté davantage de techniques d’obscurcissement.
L'histoire du cheval de Troie Qakbot
Le malware a été initialement développé en 2008 en tant que cheval de Troie bancaire pour voler des informations d'identification et effectuer des fraudes ACH (compensation automatisée), des virements électroniques et des cartes de crédit. Les premières versions de Qakbot incluaient un horodatage et aucun numéro de version, mais sont appelées 1.0.0 dans le graphique pour plus de clarté. Initialement, le malware était déployé sous forme de compte-gouttes avec deux composants intégrés dans la partie ressource, qui consistaient en une DLL malveillante et un outil utilisé pour injecter la DLL dans les processus en cours d'exécution. Au début, la gamme de fonctions était déjà étendue avec un serveur SOCKS5, des fonctions de vol de mot de passe ou de collecte de cookies par le navigateur Web.
Cette première version a été étendue et la version 2011 a été introduite en 2.0.0. Des étapes importantes ont suivi dans le développement de la gamme de fonctions et en 2019, le passage de la fraude bancaire au courtier d'accès a commencé, ce qui a propagé des ransomwares tels que Conti, ProLock, Egregor, REvil, MegaCortex et BlackBasta. Au fil des années, les techniques d'anti-analyse de Qakbot ont été améliorées pour contourner les sandbox de logiciels malveillants, les logiciels antivirus et autres produits de sécurité. Aujourd’hui, le malware est modulaire et peut télécharger des plugins pour ajouter dynamiquement de nouvelles fonctionnalités.
Chaque numéro de version mettait en évidence les techniques de menace dominantes de la période respective. Les premières versions étaient accompagnées de serveurs de commande et de contrôle codés en dur, qui ont été remplacés par un développement ultérieur des techniques de détection et la mise hors service des noms de domaine contenant du code malveillant. En réponse, le cryptage du réseau et un algorithme de génération de domaine (DGA) ont été introduits. Cependant, les demandes provenant de divers domaines ont généré un certain niveau de bruit et les développeurs de Qakbot ont opté pour une nouvelle architecture à plusieurs niveaux qui utilisait des systèmes compromis comme serveurs proxy pour acheminer le trafic entre d'autres systèmes infectés. Une telle mise à jour de conception a résolu le problème du point de défaillance unique, réduit le trafic de données et a contribué à masquer les serveurs C2.
Qakbot 5.0
La version 5.0 a peut-être apporté le changement le plus important à l'algorithme de codage des chaînes. Les chaînes sont toujours chiffrées avec une simple clé XOR. Cependant, la clé XOR n'est plus codée en dur dans la zone de données. Au lieu de cela, il est chiffré à l’aide d’AES, où la clé AES est dérivée d’un hachage SHA256 d’un tampon. Un deuxième tampon contient le vecteur d'initialisation AES (IV) dans les 16 premiers octets, suivi de la clé XOR cryptée AES. Une fois la clé XOR déchiffrée, le bloc de chaînes chiffrées peut être déchiffré.
Ce cheval de Troie très développé a considérablement évolué en 15 ans pour devenir une menace très résiliente et persistante. Malgré les perturbations survenues en 2023, le groupe de logiciels malveillants reste actif et continuera d’exploiter son potentiel de menace dans un avenir prévisible. La plateforme de sécurité cloud multicouche de Zscaler reconnaît les charges utiles et les classe sous le nom Win32.Banker.Qakbot.
Plus sur Zscaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.
Articles liés au sujet