Accueil Cyberattaque Nouvelle vague de diffusion du malware Qbot via des PDF malveillants

Nouvelle vague de diffusion du malware Qbot via des PDF malveillants

Les équipes de Kaspersky ont découvert la diffusion massive du cheval de Troie Qbot via une campagne de spams. Une méthode visiblement inhabituelle pour le code malveillant.

Depuis le 4 avril dernier, une campagne de spams, embarquant le trojan Qbot et toujours active, a déjà vu plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF expédiés à travers le monde. Qbot est un cheval de Troie bancaire connu évolue via un réseau de botnets et capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Il permet également aux acteurs de la menace de contrôler le système infecté à distance et d’installer des ransomwares ou d’autres chevaux de Troie sur d’autres appareils du réseau. Les auteurs du code malveillant utilisent différents modes de distribution mais ici, pour la première fois notamment l’envoi de courriels écrits en anglais, en allemand, en italien et en français.

Le nouveau schéma utilisé par Qbot

« Nous recommandons aux entreprises de rester vigilantes car même si sa vocation principale n’a pas changé au cours des deux dernières années, le malware Qbot est très dangereux. Ses opérateurs améliorent constamment leurs techniques, en enrichissant leurs tactiques d’ingénierie sociale, ce qui augmente la probabilité qu’un employé tombe dans leur stratagème. Pour rester en sécurité, vérifiez soigneusement les différents signaux d’alerte, tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes douteuses, les erreurs grammaticales, etc. En outre, des solutions de cybersécurité spécialisées peuvent aider à garantir la sécurité des mails d’entreprise« , commente Darya Ivanova, analyste malware chez Kaspersky.

Exemple d’un mail transféré avec un fichier PDF malveillant en pièce jointe. Le message de l’attaquant n’est pas flouté.
Exemples de fichiers PDF provenant d’une pièce jointe à un mail

Dans un communiqué, l’éditeur russe précise que le contenu du fichier PDF partagé dans les mails malveillants est une image reproduisant une notification de Microsoft Office 365 ou de Microsoft Azure. « Si l’utilisateur clique sur « Ouvrir », l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant (site web compromis). »