Phishing : Qbot est de retour et il infecte les PC avec des fichiers PDF et WSF !
Une nouvelle campagne de phishing est en cours, dans le but d'infecter les machines avec le malware Qbot. Cette fois-ci, les pirates utilisent des fichiers PDF et WSF pour infecter les machines Windows. Faisons le point.
Le malware Qbot, alias QakBot, revient régulièrement sur le devant de la scène lorsque de nouvelles campagnes d'attaques sont lancées. Par exemple, en 2022, il s'appuyait sur une archive ZIP contenant un fichier MSI malveillant pour infecter les machines.
À la base, Qbot est un trojan bancaire mais il a évolué pour permettre le déploiement d'autres logiciels malveillants (notamment des ransomwares) et offrir aux cybercriminels un accès à la machine infectée.
Qbot a été utilisé par des groupes de cybercriminels pour obtenir un accès initial au réseau d'une entreprise. On peut citer plusieurs gangs de ransomwares : BlackBasta, REvil, PwndLocker ou encore ProLock.
Nouvelle méthode d'infection basée sur un fichier PDF
D'après le groupe Cryptolaemus et le chercheur en sécurité ProxyLife qui a l'habitude de suivre Qbot, le logiciel malveillant est distribué par l'intermédiaire d'une nouvelle campagne de phishing. Ce qui change cette fois-ci, c'est le type de fichiers utilisés.
En effet, les pirates utilisent un fichier PDF malveillant, ajouté en pièce jointe de l'e-mail, et qui va exécuter un script malveillant au format WSF (Windows Script File) pour infecter l'ordinateur avec Qbot. Ce type de script peut contenir du code JScript et VBScript.
L'e-mail en question contient une pièce jointe nommée "CancelationLetter-[nombre].pdf". Voici un aperçu du document :
Lorsque l'utilisateur ouvre cette pièce jointe, il se retrouve avec une page qui lui indique de cliquer sur le bouton "Open" pour ouvrir le document, ce dernier étant protégé. Ce qui, bien sûr, et un moyen de faire télécharger le script malveillant pour infecter la machine.
Si le script WSF malveillant est exécuté, il va lui-même exécuter un script PowerShell qui aura pour objectif de télécharger une DLL à partir d'Internet. Si besoin, plusieurs tentatives via différents domaines sont effectuées, jusqu'à ce que le téléchargement fonctionne.
Une fois la machine compromise, le malware sera injecté dans un processus légitime de Windows nommé wermgr.exe. Ceci lui permet de rester actif en arrière-plan, en étant discret. C'est là qu'il pourra commencer à effectuer des actions malveillantes (évoquées ci-dessus).
Une fois de plus, vos utilisateurs devront se montrer méfiants face à cette menace !
