Phishing : Qbot distribue une archive ZIP qui intègre un MSI malveillant

Le botnet Qbot distribue des logiciels malveillants par e-mail grâce à une pièce jointe au format ZIP qui contient un package MSI malveillant ! Avant, il s'appuyait sur un document Word avec des macros malveillantes. Comment expliquer ce changement ?

Qbot est un logiciel malveillant redoutable utilisé pour distribuer d'autres malwares, notamment des ransomwares comme REvil.

Jusqu'ici, Qbot, connu également sous le nom de Qakbot, Quakbot, et Pinkslipbot, utilisait des campagnes de phishing pour distribuer des e-mails avec une pièce jointe malveillante, en l'occurrence un document Word. Désormais, Qbot s'appuie sur une nouvelle tactique pour faire de nouvelles victimes : une archive ZIP protégée par un mot de passe et qui contient un package MSI malveillant.

Pour comprendre ce changement, c'est-à-dire l'utilisation d'une archive ZIP avec un MSI malveillant plutôt qu'un document Word avec des macros malveillantes, il faut revenir au début de l'année 2022. En effet, Microsoft a annoncé dans un premier temps les macros Excel 4.0 seraient désormais désactivées par défaut. Ensuite, la firme de Redmond a affirmé qu'elle souhaitait faire la même chose avec les macros VBA pour Office. Tout en sachant que les pirates sont susceptibles d'utiliser les deux types de macros dans leurs documents.

En fin de compte, Microsoft a commencé à déployer la fonction de blocage automatique des macros VBA pour les utilisateurs d'Office (Windows) au début de ce mois d'avril 2022. Tout d'abord, Microsoft commence par la version 2203 pour ensuite le faire sur les différents canaux et les versions plus anciennes.

Donc, on peut imaginer que cette nouvelle tactique utilisée par les pirates est une réponse aux changements opérés par Microsoft. C'est une bonne idée de la part de Microsoft de réaliser ce changement afin d'améliorer le niveau de sécurité par défaut de la suite Office, et éviter certaines attaques.

En fait, je pense qu'un utilisateur se fera plus facilement avoir par un document Word qui intègre une macro malveillante que par une archive ZIP protégée par mot de passe (il doit être précisé dans le corps de l'e-mail de phishing) qui contient un package MSI malveillant.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3782 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.