Plusieurs sources confirment la résurgence du malware Qakbot quelques mois seulement après que le FBI et d’autres organismes chargés de l’application des lois ont fermé le botnet Windows.
Microsoft Threat Intelligence estime qu’une nouvelle campagne de phishing Qakbot est active depuis le 11 décembre, mais les tentatives d’attaque sont actuellement faibles en volume.
Le gang cible le secteur de l’hôtellerie, en utilisant initialement des e-mails de phishing contenant des pièces jointes PDF malveillantes qu’ils ont falsifiées pour donner l’impression qu’elles proviennent de l’Internal Revenue Service (IRS) des États-Unis.
Une fois ouvert, le PDF présente à la cible un écran d’erreur indiquant qu’un aperçu du document n’est pas disponible, ainsi qu’un bouton permettant de télécharger le document depuis « AdobeCloud ».
Germán Fernández, chercheur en sécurité chez CronUp, dit le même modèle PDF a été utilisé par les opérateurs de Pikabot quelques jours plus tôt – un malware Windows qui partage de nombreuses similitudes avec Qakbot. Les deux sont associés à des attaques du groupe Proofpoint suivi sous le nom de TA577.
Cliquer sur le bouton dans le PDF a conduit au téléchargement et à l’installation de Qakbot, qui, selon Microsoft, pourrait être une charge utile mise à jour. La version inédite, 0x500, a été générée le 11 décembre, selon son analyse.
L’équipe de Zscaler ThreatLabz confirmé que la charge utile a été mise à jour et que la nouvelle version a une architecture 64 bits, utilise AES pour le cryptage réseau et envoie des requêtes POST au chemin /teorema505.
Deux chercheurs de Proofpoint, Tommy Madjar et Pim Trouerbach, confirmé ils avaient repéré une activité Qakbot mise à jour, mais les nouvelles fonctionnalités ne représentent que “modifications mineures“.
Ils ont ajouté que la nouvelle activité Qakbot remonte au 28 novembre, soit environ deux semaines après le 11 décembre – date à laquelle Microsoft l’a repérée pour la première fois.
Le retrait de Qakbot
Le mois d’août a vu la conclusion de l’opération Duck Hunt avec ce que les autorités qualifiaient à l’époque de retrait de Qakbot, saisissant son infrastructure et 20 des portefeuilles cryptographiques de ses opérateurs.
Le FBI, qui a supervisé l’opération Duck Hunt, a déclaré qu’il s’agissait de « l’opération technologique et financière la plus importante jamais menée par le ministère de la Justice contre un botnet ».
L’opération a également été soutenue par les autorités du Royaume-Uni, de la France, de l’Allemagne, des Pays-Bas et de la Lettonie, mais n’a donné lieu à aucune arrestation.
Dan Schiappa, directeur des produits chez Arctic Wolf, a déclaré que même si des éloges devraient certainement être adressés aux autorités qui ont travaillé pour faire tomber le botnet d’origine, la résurgence de Qakbot illustre la difficulté de lutter contre la cybercriminalité, en particulier sans procéder à des arrestations.
« Le fait que ce botnet semble avoir repris vie, comme d’autres dans le passé, montre le défi auquel nous sommes tous confrontés face aux gangs du crime organisé qui mènent souvent ce genre de campagnes. jeu de Whac a Mole… dès qu’il est éteint, il revient ailleurs.
« Ce que nous devons reconnaître, c’est que les réseaux de logiciels malveillants comme Qakbot sont des affaires pour les méchants qui exploitent un modèle économique fluide et flexible. Cela signifie qu’ils peuvent créer rapidement de nouvelles opportunités pour poursuivre leurs activités lucratives et mettre en ligne de nouvelles ressources pour maintenir leur activité. Ces organisations anticipent la destruction des infrastructures et sont prêtes à refaire surface comme un Phénix.
« Ils savent également que trop d’entreprises ne parviennent toujours pas à corriger leurs logiciels ou à améliorer leur sécurité face aux nouvelles menaces. Nous encourageons les organisations à rester vigilantes, à mettre en œuvre des mesures de cybersécurité robustes et à sensibiliser leurs employés aux risques associés aux e-mails de phishing et autres. cybermenaces. »
La renaissance de Qakbot ne surprendra peut-être pas certains, puisqu’Emotet a également été démantelé par une opération d’application de la loi coordonnée au niveau international en 2021, mais a refait surface plus tard cette année-là.
À son apogée, Emotet contrôlait plus d’un million de machines et était largement considéré comme le botnet le plus développé au monde.
Le retour d’Emotet a suscité à l’époque des inquiétudes dans le secteur de la sécurité de l’information et, moins d’un an après son retrait, il était à nouveau classé comme le malware numéro un en activité.
Cependant, depuis 2022, Emotet a ralenti, oscillant entre périodes d’activité et de silence, et est resté en sommeil pendant des mois après une brève poussée en mars.
Jakub Kaloč, chercheur en malwares chez ESET, dit dans un blog de juillet, la période d’arrêt prolongée d’Emotet est probablement due à “l’incapacité de trouver un nouveau vecteur d’attaque efficace”.
Parler à Le registreSelena Larson, analyste principale du renseignement sur les menaces chez Proofpoint, a déclaré qu’il existe encore des preuves démontrant que la perturbation de l’opération Duck Hunt a eu un impact sur les opérations de Qakbot, mais qu’elle pourrait refléter la chute d’Emotet et qu’il faudra du temps pour qu’elle s’éteigne complètement.
« À l’heure actuelle, Proofpoint n’est pas en mesure d’évaluer avec un degré de confiance élevé si l’activité de Qbot continuera à boiter et aura un impact limité sur l’ensemble du paysage ou si elle reviendra à ses niveaux d’activité antérieurs », a déclaré Larson.
« Cependant, les chercheurs peuvent comparer cette activité au retour d’Emotet dans le paysage des menaces après la perturbation des forces de l’ordre en 2021 : Emotet est revenu avec des campagnes à grand volume de fin 2021 à 2022, mais le botnet n’a pas retrouvé son importance antérieure et n’a pas été observé dans données de campagne depuis mars 2023.”
Larson a ajouté : « Il convient également de noter que la perturbation des forces de l’ordre par Qbot a supprimé des centaines de milliers d’infections, ce qui paralyserait considérablement toutes les opérations récurrentes et nécessiterait une certaine reconstruction grâce aux efforts des acteurs de la menace. » ®
2023-12-19 12:26:00
1702979471
#démantèlement #mené #par #FBI #maintient #les #crimes #distance #pendant #seulement #mois #Register
