Qakbot exécute des analyses de profil détaillées des ordinateurs infectés, télécharge des modules supplémentaires et propose un cryptage sophistiqué. Point de départ des attaques : les cybercriminels s'accrochent habilement aux véritables lignes de communication par e-mail. Le botnet Qakbot suit les traces d'Emotet.
Sophos a publié une analyse technique de Qakbot montrant que le botnet devient de plus en plus sophistiqué et dangereux pour les entreprises. Dans l'article « Qakbot s'injecte au milieu de vos conversations », les SophosLabs décrivent une récente campagne Qakbot qui montre comment le botnet se propage par détournement de fils de messagerie et collecte diverses informations de profil à partir d'ordinateurs nouvellement infectés. Cela inclut, entre autres, tous les comptes d'utilisateurs et autorisations configurés, les logiciels installés et les services en cours d'exécution. Le botnet télécharge également un certain nombre de modules malveillants supplémentaires qui étendent les fonctionnalités du botnet principal.
Le code malveillant de Qakbot comporte un cryptage non conventionnel. Cela sert également à déguiser le contenu de la communication. En déchiffrant les modules malveillants et le système de commande et de contrôle du botnet, Sophos a compris comment Qakbot reçoit ses instructions.
La chaîne d'infection Qakbot
Dans la campagne analysée par Sophos, le botnet a inséré des messages malveillants dans le trafic de messagerie existant. Les e-mails contiennent une courte phrase et un lien pour télécharger un fichier zip contenant un fichier Excel malveillant. Les utilisateurs ont été invités à activer le contenu pour activer la chaîne d'infection. Une fois que le botnet avait infecté une nouvelle cible, il effectuait une analyse détaillée du profil, partageait les données avec son serveur de commande et de contrôle, puis téléchargeait au moins trois modules malveillants différents sous la forme de bibliothèques de liens dynamiques (DLL). donner au botnet un plus large éventail de capacités.
Les modules importés consistaient en :
- Un module qui injecte du code de vol de mot de passe dans les sites Web
- Un module qui effectue des analyses de réseau et collecte des données sur d'autres machines proches de la machine infectée
- Un module qui recherche les adresses d'une douzaine de serveurs de messagerie SMTP (Simple Mail Transfer Protocol) puis tente de se connecter à chacun et d'envoyer des spams
Précurseurs connus d'une attaque de ransomware
« Qakbot est un botnet polyvalent et modulaire distribué par e-mail. Les cybercriminels l'utilisent de plus en plus comme outil de diffusion de logiciels malveillants, similaire à Trickbot et Emotet », a déclaré Andrew Brandt, chercheur principal sur les menaces chez Sophos. "Notre analyse démontre la collecte de données détaillées sur le profil des victimes, la capacité du botnet à traiter des séquences de commandes complexes et un certain nombre de modules qui étendent les fonctionnalités du moteur de base du botnet."
Les infections de botnet sont un précurseur bien connu d'une attaque de ransomware. Ce n'est pas seulement parce que les botnets délivrent potentiellement des ransomwares. Les développeurs de botnets peuvent également vendre ou louer leur accès aux réseaux infectés. Par exemple, les équipes de Sophos ont rencontré des échantillons de Qakbot qui délivrent des balises Cobalt Strike, le premier pas dans la porte du réseau d'entreprise, directement à un hôte infecté. Une fois que les opérateurs Qakbot ont utilisé l'ordinateur infecté, ils peuvent donner, louer ou vendre l'accès à ces balises à leurs clients.
Que faire contre Qakbot ?
Sophos vous recommande de faire attention aux e-mails inhabituels ou inattendus, même si les messages semblent être des réponses à un trafic d'e-mails existant. Dans la campagne Qakbot sur laquelle Sophos a enquêté, l'utilisation de phrases latines dans les URL était un signal d'alarme potentiel.
De plus, les équipes de sécurité doivent vérifier que les protections comportementales fournies par leurs technologies de sécurité empêchent l'infection par Qakbot. Les périphériques réseau alertent également les administrateurs lorsqu'un utilisateur infecté tente de se connecter à une adresse ou à un domaine connu de commande et de contrôle. Pour plus d'informations, consultez l'article « Qakbot s'injecte au milieu de vos conversations » des SophosLabs.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.