Sophos X-Ops a découvert et analysé une nouvelle variante du malware Qakbot. Ces cas sont apparus pour la première fois à la mi-décembre et montrent que le malware Qakbot a continué d'évoluer malgré le démantèlement réussi de l'infrastructure du botnet par les forces de l'ordre en août dernier.
Les attaquants utilisent des méthodes encore plus efficaces pour brouiller les pistes. Les cas analysés par Sophos X-Ops montrent que les cybercriminels ont déployé des efforts concertés pour renforcer le chiffrement du malware. Cela a rendu plus difficile pour les défenseurs l’analyse du code malveillant. De plus, les attaquants chiffrent désormais toutes les communications entre le malware et le serveur de contrôle en utilisant une méthode plus puissante que dans les versions précédentes. Le malware a également réintroduit une fonctionnalité précédemment supprimée qui l'empêche de s'exécuter dans un environnement virtuel ou un bac à sable.
Le créateur de Qakbot toujours actif
Ce n'est que si les créateurs du bot sont poursuivis en justice que Quakbot pourrait prendre fin. « Le démantèlement de l'infrastructure du botnet Qakbot a été une victoire, mais les créateurs du bot restent actifs », a déclaré Andrew Brandt, chercheur principal chez Sophos X-Ops, commentant les récents incidents de Qakbot. « Les cybercriminels qui ont accès au code source original de Qakbot expérimentent de nouvelles variantes et les testent dans le monde réel.
L'un des changements les plus notables concerne l'algorithme de cryptage utilisé par le bot pour masquer les configurations par défaut codées en dur. Cela rend encore plus difficile pour les analystes de voir comment fonctionne le malware. Les attaquants restaurent également des fonctionnalités précédemment obsolètes telles que la détection des machines virtuelles (VM) et les testent dans ces nouvelles versions. Il est très probable que le développement de Qakbot se poursuive jusqu’à ce que ses créateurs soient poursuivis. La bonne nouvelle est que ces nouvelles variantes de Qakbot avec des signatures précédemment créées peuvent être facilement détectées par un logiciel de détection de points finaux.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.
Articles liés au sujet