Les opérateurs à l’origine du malware Qakbot transforment leurs vecteurs de livraison pour tenter d’éviter la détection.
« Plus récemment, les acteurs de la menace ont transformé leurs techniques pour échapper à la détection en utilisant des extensions de fichiers ZIP, des noms de fichiers attrayants avec des formats courants et Excel (XLM) 4.0 pour inciter les victimes à télécharger des pièces jointes malveillantes qui installent Qakbot », ont déclaré les chercheurs de Zscaler Threatlabz, Tarun Dewan et Aditya Sharma a dit.
Parmi les autres méthodes adoptées par le groupe figurent l’obscurcissement du code, l’introduction de nouvelles couches dans la chaîne d’attaque, de la compromission initiale à l’exécution, et l’utilisation de plusieurs URL ainsi que d’extensions de fichiers inconnues (par exemple, .OCX, .ooccxx, .dat ou .gyp) pour livrer la charge utile.
Également appelé QBot, QuackBot ou Pinkslipbot, Qakbot est une menace récurrente depuis fin 2007, évoluant depuis ses premiers jours en tant que cheval de Troie bancaire vers un voleur d’informations modulaire capable de déployer des charges utiles de niveau supérieur telles que des ransomwares.
« Qakbot est un outil de post-exploitation flexible qui intègre différentes couches de techniques d’évasion de la défense conçues pour minimiser les détections », Fortinet divulgué en décembre 2021.
« La conception modulaire de Qakbot et sa tristement célèbre résistance face à la détection traditionnelle basée sur les signatures en font un premier choix souhaitable pour de nombreux groupes à motivation financière (cybercriminels). »
Le changement de tactique adopté par le logiciel malveillant des macros XLM au début de 2022 aux fichiers .LNK en mai est considéré comme une tentative de contrer les plans de Microsoft de bloquer les macros Office par défaut en avril 2022, une décision qu’il a depuis temporairement annulée.
En outre, d’autres modifications incluent l’utilisation de PowerShell pour télécharger le logiciel malveillant DLL et le passage de regsvr32.exe à rundlll32.exe pour charger la charge utile, dans ce que les chercheurs ont décrit comme un « signe clair de l’évolution de Qakbot pour échapper aux pratiques de sécurité mises à jour et défenses. »