Le malware QakBot présente un risque de sécurité élevé en raison du taux de détection souvent faible. QakBot est distribué via des fichiers XLSB, ce qui le rend difficile à détecter.
Bien que Qakbot ne soit pas nouveau dans le ciel des logiciels malveillants, le Hornetsecurity Security Lab met désormais en garde contre un nouveau type de distribution : les experts en sécurité informatique ont découvert que des macros XLM sont utilisées dans les documents XLSB pour propager le logiciel malveillant QakBot. Étant donné que les macros XLM et le format de document XLSB sont rares, ces nouveaux documents malveillants ont un taux de détection très faible par les solutions antivirus actuelles.
Qu'est-ce que QakBot ?
QakBot (alias QBot, QuakBot, Pinkslipbot) existe depuis 2008. Le malware est distribué via Emotet en demandant à Emotet de télécharger le chargeur QakBot sur les victimes infectées. Cependant, QakBot est également distribué directement par e-mail. À cette fin, les campagnes utilisent le détournement de fils de conversation par e-mail, c'est-à-dire répondre aux e-mails trouvés dans les boîtes aux lettres des victimes. QakBot est également connu pour intensifier les attaques en téléchargeant le rançongiciel ProLock.
Pourquoi les attaques ne sont-elles pas reconnues ?
Séquence d'une attaque QakBot via des macros XLM dans des documents XLSB. Info : Hornetsecurity Security Labs (Cliquez pour agrandir)
XLSB est un format de classeur Excel binaire dont le but principal est d'accélérer la lecture et l'écriture dans le fichier et de réduire la taille des feuilles de calcul très complexes. Cependant, avec la puissance de calcul actuelle et la disponibilité de la mémoire, le besoin de ce format binaire a diminué et est rarement utilisé aujourd'hui.
Selon les experts de Hornetsecurity Security Labs, la combinaison avec les anciennes macros XLM, qui sont également très peu reconnues, signifie que les documents actuels ne sont identifiés comme malveillants par aucune des solutions antivirus répertoriées sur VirusTotal.
Déguisé dans un fichier ZIP
Les fichiers QakBot XLSB sont distribués dans un fichier ZIP joint. Ce fichier ZIP contient le document XLSB qui, lorsqu'il est ouvert, prétend être un document crypté DocuSign. L'utilisateur doit "Activer l'édition" et "Activer le contenu" pour le décrypter.
L'URL est assemblée à l'aide de la macro XLM et simule le téléchargement d'un fichier PNG.
En réalité, le fichier PNG est l'exécutable du chargeur QakBot.
Que peut-on faire contre cette méthode d'attaque ?
- La plupart des solutions antivirus se concentrent sur les logiciels malveillants de macros VBA modernes, mais échouent souvent à détecter les anciennes macros XLM et les documents XLSB qui sont moins courants aujourd'hui.
- Les entreprises doivent donc s'appuyer sur des services de sécurité avancés capables de répondre aux nouvelles menaces et méthodes d'attaque dans les plus brefs délais.
Les experts en sécurité du Hornetsecurity Security Lab fournissent une analyse détaillée de cette méthode d'attaque sur leur blog.
En savoir plus sur HornetSecurity.com
À propos de Hornet Security Hornetsecurity est le premier fournisseur allemand de sécurité cloud pour le courrier électronique en Europe et protège l'infrastructure informatique, la communication numérique et les données des entreprises et des organisations de toutes tailles. Le spécialiste de la sécurité de Hanovre fournit ses services via 10 centres de données sécurisés de manière redondante dans le monde entier. Le portefeuille de produits comprend tous les domaines importants de la sécurité des e-mails, des filtres anti-spam et antivirus à l'archivage et au cryptage conformes à la loi, en passant par la défense contre la fraude du PDG et les ransomwares. Hornetsecurity est représenté dans le monde entier avec environ 200 employés sur 12 sites et opère avec son réseau international de revendeurs dans plus de 30 pays.