Bien qu’au cours des dernières années, Microsoft ait fait un travail louable en prenant des mesures pour lutter contre les logiciels malveillants et prévenir leurs ravages, y compris l’interdiction récente des macros de s’exécuter dans les fichiers Office téléchargés sur Internet, il semble que les acteurs de la menace trouvent toujours un moyen comme le célèbre malware Qbot a maintenant évolué pour rester efficace contre la dernière tactique de Microsoft.
Selon les recherches menées par Black Lotus Labs, le malware Qbot, qui a commencé comme un cheval de Troie bancaire il y a plus de dix ans, a rapidement adapté son réseau de distribution, ses méthodes de déploiement et son serveur de commande et de contrôle (C2) en réponse aux changements de Microsoft. En outre, les acteurs de la menace ont également introduit de nouvelles techniques d’accès initial dans les campagnes de phishing, telles que l’utilisation de fichiers OneNote malveillants, l’évasion Mark of the Web et la contrebande HTML.
« Qakbot a fait preuve de résilience en utilisant une approche ingénieuse dans la construction et le développement de son architecture.
Plus grande adaptabilité
Outre les nouvelles méthodes de déploiement, les opérateurs Qbot ont modifié la façon dont ils gèrent leurs serveurs C2, car au lieu de s’appuyer sur des serveurs privés virtuels (VPS) hébergés, les acteurs de la menace cachent désormais les serveurs C2 dans des serveurs Web compromis et des hôtes dans des espaces IP résidentiels. Bien que cette approche réduise la durée de vie des serveurs, les pirates peuvent rapidement en obtenir de nouveaux. Environ 90 nouveaux serveurs C2 sont mis en place chaque semaine pendant un cycle de spam.
De plus, la conversion des bots en serveurs C2 est cruciale pour les opérations de Qbot. En effet, plus de 25 % de ces serveurs sont actifs pendant une journée, et la moitié ne survivent pas au-delà d’une semaine. Par conséquent, les bots convertis jouent un rôle essentiel dans le réapprovisionnement de l’approvisionnement en serveurs C2.
Pour aggraver les choses, le rapport indique que le logiciel malveillant persistera en tant que menace importante dans un avenir prévisible. « Il n’y a actuellement aucun signe de ralentissement de Qakbot. »
