Une nouvelle vague de messages de phishing distribuant le QakBot un malware a été observé, plus de trois mois après qu’un effort d’application de la loi ait démantelé son infrastructure en infiltrant son réseau de commande et de contrôle (C2).
Microsoft, qui a fait la découverte, l’a décrite comme une campagne à faible volume qui a débuté le 11 décembre 2023 et ciblait le secteur hôtelier.
« Targets a reçu un PDF d’un utilisateur se faisant passer pour un employé de l’IRS », a déclaré le géant de la technologie. dit dans une série de posts partagés sur X (anciennement Twitter).
« Le PDF contenait une URL qui télécharge un programme d’installation Windows signé numériquement (.msi). L’exécution du MSI a conduit à l’appel de Qakbot à l’aide de l’exécution d’exportation ‘hvsi’ d’une DLL intégrée. »
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Microsoft a déclaré que la charge utile avait été générée le jour même du début de la campagne et qu’elle était configurée avec la version 0x500 inédite.
Zscaler ThreatLabz, dans un poste partagé sur X, a décrit le QakBot refait à la surface comme un binaire 64 bits qui utilise AES pour le cryptage du réseau et envoie des requêtes POST au chemin /teorema505.
QakBot, également appelé QBot et Pinkslipbot, a été perturbé dans le cadre d’un effort coordonné appelé Opération Duck Hunt après que les autorités ont réussi à accéder à son infrastructure et ont demandé aux ordinateurs infectés de télécharger un fichier de désinstallation pour rendre le malware inefficace.
Traditionnellement distribué via des courriers indésirables contenant des pièces jointes ou des hyperliens malveillants, QakBot est capable de collecter des informations sensibles ainsi que de diffuser des logiciels malveillants supplémentaires, notamment des ransomwares.
En octobre 2023, Cisco Talos a révélé que les filiales de QakBot exploitaient des leurres de phishing pour proposer un mélange de ransomwares, de chevaux de Troie d’accès à distance et de logiciels malveillants voleurs.
Le retour de QakBot reflète celui d’Emotet, qui a également refait surface fin 2021 des mois après avoir été démantelé par les forces de l’ordre et a est resté un durable menacequoique à un niveau inférieur.
Même s’il reste à voir si les logiciels malveillants retrouveront leur gloire d’antan, la résilience de ces botnets souligne la nécessité pour les organisations d’éviter d’être victimes des spams utilisés dans les campagnes Emotet et QakBot.