Infos

Qbot revient avec de nouvelles astuces

D’après les données de BAE Systems, le malware Qbot s’est réactivé et il a déjà infecté plus de 54 500 ordinateurs ; 85 % des nouvelles victimes se trouvent aux Etats-Unis.

La nouvelle version de Qbot, dont la version originale remonte à 2009, parvient à éviter les détections. Selon BAE Systems, les individus malintentionnés qui l’utilisent ont revu le code source de telle sorte que le malware est capable de déjouer la majorité des systèmes de protection moderne.

Comme l’explique Adrian Nish, directeur du département d’analyse antivirus de BAE Systems, Qbot se distingue par sa capacité à se restaurer automatiquement toutes les 24 heures sur le nœud infecté. Dans une déclaration à Threatpost, Adrian Nish a expliqué que « les auteurs de Qbot brouillent et recompactent le code chaque jour. Si bien que l’antivirus qui a été capable de le détecter aujourd’hui ne le verra pas demain. »

D’après l’expert, ce malware vole des données et collecte des identifiants. Il est propagé via le kit d’exploitation RIG. Qbot attaque principalement des institutions académiques installées aux Etats-Unis et touche également des institutions médicales ou tierces. Il participe parfois à des programmes de partenariat, ce qui simplifie la distribution du malware d’escroquerie.

Les témoignages relatifs à la propagation de ransomwares à l’aide de Qbot cités dans le rapport de BAE Systems font écho aux observations de Cisco Talos publiées il y a deux jours. Des experts de Cisco ont prédit l’apparition de ransomwares qui utilisent des techniques d’infection qui ont fait leur preuve au fil des années et qui sont capables de se propager eux-mêmes, comme des vers.

Ceci étant dit, alors que Qbot affiche certaines caractéristiques des vers, par exemple, la capacité à se propager par le réseau et de se reproduire, il n’est pas autonome. Il a besoin d’un serveur de commande pour mettre à jour le code polymorphe. Les chercheurs ont remarqué que le code Qbot est recompilé toutes les six heures. Souvent, du contenu est ajouté afin de donner un tout nouvel aspect au malware.

Qbot n’a jamais vraiment disparu d’Internet. De temps à autres, des comptes-rendus de nouvelles infections ou de l’apparition de versions d’une population réduite sont apparus. Toutefois, la vitesse de propagation de ce malware, observée déjà depuis un mois, provoque de fortes inquiétudes chez les chercheurs, d’autant plus que ces modifications se produisent en vol.

Selon Adrian Nish, les modifications de Qbot s’opèrent à deux niveaux. D’un côté, les individus malintentionnés modifient le code binaire sans toucher aux fonctions. « A ce niveau, les modifications polymorphes sont réalisées à l’aide d’un script PHP de passerelle exécuté sur le serveur de commande. Chaque fois qu’une nouvel exemplaire est produit, le script du centre de commande envoie des correctifs pour deux grands objets binaires dans un modèle en utilisant des données aléatoires. On obtient ainsi une nouvelle copie avec un autre hash » expliquent les experts.

Le deuxième niveau des modifications polymorphe concerne la recompilation et le nouveau processus de chiffrement qui donnent une toute nouvelle structure. « A ce niveau, l’échantillon reçoit le numéro de version suivant, parfois il reçoit également un nouveau fichier de configuration (si les attaquants le souhaitent) avec d’autres adresses pour le centre de commande et le serveur FTP d’envoi des données » peut-on lire dans le rapport de BAE.

Actuellement, la quantité d’infections par Qbot aux Etats-Unis est de loin supérieure à celle observée dans d’autres régions car au début, les attaquants ont réussi à compromettre des sites américains. Le kit d’exploitation RIG a été détecté sur plusieurs domaines enregistrés via GoDaddy. « Il semblerait que les individus malintentionnés ont réussi à mettre la main sur quelques comptes chez GoDaddy et qu’ils les ont utilisés pour créer des sous-domaines liés à différents serveurs NS. Plusieurs de ces sous-domaines sont associés à un seul et même domaine GoDaddy » indiquent les experts.

Fonte: Threatpost

Qbot revient avec de nouvelles astuces

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception