Qbot revient avec de nouvelles astuces

D’après les données de BAE Systems, le malware Qbot s’est réactivé et il a déjà infecté plus de 54 500 ordinateurs ; 85 % des nouvelles victimes se trouvent aux Etats-Unis.

La nouvelle version de Qbot, dont la version originale remonte à 2009, parvient à éviter les détections. Selon BAE Systems, les individus malintentionnés qui l’utilisent ont revu le code source de telle sorte que le malware est capable de déjouer la majorité des systèmes de protection moderne.

Comme l’explique Adrian Nish, directeur du département d’analyse antivirus de BAE Systems, Qbot se distingue par sa capacité à se restaurer automatiquement toutes les 24 heures sur le nœud infecté. Dans une déclaration à Threatpost, Adrian Nish a expliqué que « les auteurs de Qbot brouillent et recompactent le code chaque jour. Si bien que l’antivirus qui a été capable de le détecter aujourd’hui ne le verra pas demain. »

D’après l’expert, ce malware vole des données et collecte des identifiants. Il est propagé via le kit d’exploitation RIG. Qbot attaque principalement des institutions académiques installées aux Etats-Unis et touche également des institutions médicales ou tierces. Il participe parfois à des programmes de partenariat, ce qui simplifie la distribution du malware d’escroquerie.

Les témoignages relatifs à la propagation de ransomwares à l’aide de Qbot cités dans le rapport de BAE Systems font écho aux observations de Cisco Talos publiées il y a deux jours. Des experts de Cisco ont prédit l’apparition de ransomwares qui utilisent des techniques d’infection qui ont fait leur preuve au fil des années et qui sont capables de se propager eux-mêmes, comme des vers.

Ceci étant dit, alors que Qbot affiche certaines caractéristiques des vers, par exemple, la capacité à se propager par le réseau et de se reproduire, il n’est pas autonome. Il a besoin d’un serveur de commande pour mettre à jour le code polymorphe. Les chercheurs ont remarqué que le code Qbot est recompilé toutes les six heures. Souvent, du contenu est ajouté afin de donner un tout nouvel aspect au malware.

Qbot n’a jamais vraiment disparu d’Internet. De temps à autres, des comptes-rendus de nouvelles infections ou de l’apparition de versions d’une population réduite sont apparus. Toutefois, la vitesse de propagation de ce malware, observée déjà depuis un mois, provoque de fortes inquiétudes chez les chercheurs, d’autant plus que ces modifications se produisent en vol.

Selon Adrian Nish, les modifications de Qbot s’opèrent à deux niveaux. D’un côté, les individus malintentionnés modifient le code binaire sans toucher aux fonctions. « A ce niveau, les modifications polymorphes sont réalisées à l’aide d’un script PHP de passerelle exécuté sur le serveur de commande. Chaque fois qu’une nouvel exemplaire est produit, le script du centre de commande envoie des correctifs pour deux grands objets binaires dans un modèle en utilisant des données aléatoires. On obtient ainsi une nouvelle copie avec un autre hash » expliquent les experts.

Le deuxième niveau des modifications polymorphe concerne la recompilation et le nouveau processus de chiffrement qui donnent une toute nouvelle structure. « A ce niveau, l’échantillon reçoit le numéro de version suivant, parfois il reçoit également un nouveau fichier de configuration (si les attaquants le souhaitent) avec d’autres adresses pour le centre de commande et le serveur FTP d’envoi des données » peut-on lire dans le rapport de BAE.

Actuellement, la quantité d’infections par Qbot aux Etats-Unis est de loin supérieure à celle observée dans d’autres régions car au début, les attaquants ont réussi à compromettre des sites américains. Le kit d’exploitation RIG a été détecté sur plusieurs domaines enregistrés via GoDaddy. « Il semblerait que les individus malintentionnés ont réussi à mettre la main sur quelques comptes chez GoDaddy et qu’ils les ont utilisés pour créer des sous-domaines liés à différents serveurs NS. Plusieurs de ces sous-domaines sont associés à un seul et même domaine GoDaddy » indiquent les experts.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *