Qakbot : quand les malwares usurpent Windows Defender

Gare aux alertes qui semblent émaner de Windows Defender. À plus forte raison si elles apparaissent dans un document Excel. Il est tentant de tirer cette conclusion au regard de la nouvelle méthode de diffusion de Qakbot.

Ce cheval de Troie bancaire* est actif depuis plus de dix ans. Sa distribution repose essentiellement sur des campagnes de phishing. Mais avec de nombreux vecteurs. Dont, récemment, des archives Zip contenant des scripts VBS malveillants.

Il arrive aussi que la diffusion soit indirecte. Ce fut le cas l’an dernier avec l’appui botnet Emotet. Ça l’est à nouveau, ce dernier s’étant « réveillé » au cours de l’été, après plusieurs mois sans activité.

D’une année sur l’autre, la technique a changé. Emotet se trouve toujours dans une pièce jointe malveillante, mais il s’agit cette fois d’un fichier Excel. À l’ouverture, l’utilisateur se voit signifier que ledit fichier est chiffré ; et prier d’autoriser l’édition, puis les macros pour lancer le déchiffrement.

2020-10-05 (Monday) – #Qakbot (#Qbot) abc013 – Paste of info: https://t.co/XckfmdaxLe – Pastebin raw: https://t.co/c2jTsVNLh7 – same basic activity as before – The infrastructure is still active and spamming out these spreadsheets pic.twitter.com/6sCQykqXky

— Brad (@malware_traffic) October 6, 2020

* Qakbot présente par ailleurs les caractéristiques d'un ver. On trouvera ici l'analyse détaillée d'un échantillon de 2018. On remarquera la connexion préférentielle au C2 par FTP, l'exploitation de certificats signés ou encore l'utilisation de Mimikatz pour le vol d'identifiants.