Après une période d'accalmie, Qbot a repris du service, avec une campagne malveillante découverte par Kaspersky, qui vise à dérober des données bancaires sensibles.
Apparu en 2008, le cheval de Troie Qbot va et vient, se diffusant par le biais de campagnes de spam, toujours à la recherche d'informations d'identifications bancaires, sa spécialité. Les experts cyber de Kaspersky ont pu identifier la reprise des e-mails malveillants visant à diffuser le malware, qui cible les professionnels, parmi lesquels on retrouve plusieurs dizaines de Français.
Qbot reprend du service
Depuis le 28 septembre dernier, Kaspersky a tout de même pu dénombrer 1 500 utilisateurs concernés par les courriers électroniques malveillants. On peut ainsi dire, oui, que Qbot a bien repris du service, en ciblant des organisations.
« Cette nouvelle vague comptabilise aujourd'hui plus de 1 500 victimes, dont 36 en France. Les pays les plus ciblés sont les États-Unis, l'Italie, l'Allemagne et l'Inde », détaille Victoria Vlasova, chercheuse senior chez Kaspersky.
Rappelons que Qbot, trojan bancaire, est capable de voler les données et e-mails des utilisateurs à partir des réseaux d'entreprise infectés. ll se propage alors davantage dans le réseau ciblé, pour y installer des ransomwares, par exemple, ou d'autres malwares qui aideront les cybercriminels à infecter un maximum d'appareils connectés au réseau.
Les hackers parviennent à s'immiscer dans des conversations existantes
Pour mener à bien leur campagne, les hackers ont probablement intercepté des conversations actives par mail, relatives à des questions professionnelles. Ensuite, ils auraient envoyé aux destinataires un message contenant un lien qui redirige la cible vers un fichier archivé protégé par mot de passe. Une fois téléchargé, le fichier corrompt alors tous les appareils concernés, le tout à l'aide d'un cheval de Troie bancaire.
Alors comment convaincre les utilisateurs d'ouvrir et de télécharger le malware ? « Les acteurs de la menace indiquent généralement qu'il contient des informations importantes, comme une offre commerciale », nous explique Victoria Vlasova. « Ce mode opératoire rend ces messages plus difficiles à détecter et augmente les chances que le destinataire tombe dans le panneau. Jusqu'à présent, nous avons détecté plus de 400 sites infectés diffusant Qbot ».
Il n'est pas rare de voir les pirates imiter des interactions professionnelles, mais ici, il semble que la campagne est encore plus complexe, en ce que les agents interceptent des conversations carrément existantes. « Cette méthode rend ces messages indésirables beaucoup plus difficiles à détecter et augmente les chances que le destinataire ouvre les fichiers ». La prudence est de mise donc lors des échanges professionnels.
